ISO27001信息安全管（guǎn）理（lǐ）系统标准简介（1）

您（nín）的当前（qián）位置：首页 >> 服务（wù）项目 >> ISO27001

ISO27001信息安全管理系（xì）统标准（zhǔn）简介（jiè）（1）

所属（shǔ）分类：ISO27001
点击次数：
发布日期（qī）：2021/06/17
在线询（xún）价（jià）

详（xiáng）细（xì）介绍（shào）

在日趋网络化的（de）世界（jiè）里，「信息（xī）」对建立竞（jìng）争（zhēng）优势起着举足轻重的（de）作用。但（dàn）它同（tóng）时也是柄双刃剑，当信息（xī）被（bèi）意外或刻意（yì）的传给恶意的接（jiē）收者（zhě）时，同样的信（xìn）息也可能导（dǎo）致一所机构（gòu）倒（dǎo）闭。在当（dāng）今的信息时代，科技无疑为我们解决了不少问题。

国（guó）际标准组织(ISO)应此类需求，制定了（le）ISO27001:2005标准，为如何建立、推行、维持及改善信息安全管理系（xì）统提供帮（bāng）助。信息安全管理系统(ISMS)是高层管理（lǐ）人员用以（yǐ）监察及控制信息安（ān）全（quán）、减少商业风险和确保保安（ān）系统持续符合（hé）企业（yè）、客户（hù）及法律（lǜ）要求的一个（gè）体系。ISO/IEC 27001:2005 能协助机构保护zhuanli信息，同时也为制（zhì）定统一的机构保安标（biāo）准搭建了一个平（píng）台，更有助于提升安全（quán）管（guǎn）理的实务表现和增（zēng）强机构间商业往来的信心与信任。

什么机构可采用 ISO/IEC 27001:2005 标准？
任何使用（yòng）内部（bù）或外部电脑（nǎo）系统、拥有机密（mì）资料及/或（huò）依（yī）靠信息（xī）系统（tǒng）进行商业活（huó）动（dòng）地机构，均可采用 ISO/IEC 27001:2005标准。简单的说，也（yě）就是那些需要处理（lǐ）信息、并（bìng）认识到信（xìn）息保护重（chóng）要性的机构。

ISO/IEC 27001 的控（kòng）制目标及措施
ISO/IEC 27001制定（dìng）的（de）宗（zōng）旨是（shì）确（què）保机构（gòu）信息（xī）的机（jī）密性、完整性及可用性（xìng），为达成上述宗（zōng）旨，该标准（zhǔn）共（gòng）提出了（le）39个控制目（mù）标及134项控制（zhì）措施，推行ISO/IEC 27001标（biāo）准的机构可（kě）在其中选择适用于其业务的控（kòng）制措施，同时也可增加其（qí）他的控制措施。而与ISO/IEC 27001相辅的 ISO 17799:2005 标（biāo）准是信息安全管理的实务（wù）守则（zé），为如何（hé）推（tuī）行控制措施提供指引。

ISO/ IEC 27001:2005 的架构
ISO/ IEC 27001:2005 标准（zhǔn）在 2005 年 10 月公布，同时（shí）取缔了多国采（cǎi）纳的英国标准BS 7799-2:2002 ，但新旧（jiù）标准的（de）要求并无太大分别。ISO / IEC 27001:2005 标准以 Edward Deming 博（bó）士提出（chū）的“计（jì）划-实施（shī）-核查-采取行动”循环周期作为制定蓝图（tú），以（yǐ）实现（xiàn）持续改善的目标。

I. 计划
      计划较重要的部分是设定（dìng）涵盖的范畴及区（qū）域，它可以是（shì）：
      覆盖整（zhěng）个组织并涉及多个地点的办事处（chù）及/或厂房
      只（zhī）涉及一个办事（shì）处或厂房
      只涉（shè）及一个（gè）多元化服务供应商的其中（zhōng）一（yī）个业务
      计划（huá）的主要工作（zuò）包括信息安全管理系统、风（fēng）险评估、风险管理、风（fēng）险处理（lǐ）措施和适用性报告。