一�、ISO 27001 信息安全管理體系認證簡介
ISO27001標準是信息安全管理體系(Information Security Management System,簡稱為ISMS)標準�,它實用規則ISO/IEC27001的前身為英國的BS7799標準,該標準由英國標準協會(BSI)于1995年2月提出�����,并于1995年5月修訂而成的�。1999年BSI重新修改了該標準。BS7799分為兩個部分:BS7799-1���,信息安全管理實施規則 BS7799-2,信息安全管理體系規范。第—部分對信息安全管理給出建議,供負責在其組織啟動、實施或維護安全的人員使用�;第二部分說明了建立���、實施和文件化信息安全管理體系(ISMS)的要求�����,規定了根據獨立組織的需要應實施安全控制的要求。
二、ISO 27001 信息安全管理體系認證起源
ISO27001標準于1993年由英國貿易工業部立項����,于1995年英國首ci出版BS 7799-1:1995《信息安全管理實施細則》���,它提供了一套綜合的����、由信息安全蕞佳慣例組成的實施規則�����,其目的是作為確定工商業信息系統在大多數情況所需控制范圍的唯一參考基準���,并且適用于大���、中�����、小組織。1998年英國公布標準的第二部分《信息安全管理體系規范》,它規定信息安全管理體系要求與信息安全控制要求�����,它是一個組織的全面或部分信息安全管理體系評估的基礎����,它可以作為一個正式認證方案的根據。ISO27000-1與ISO27000-2經過修訂于1999年重新予以發布,1999版考慮了信息處理技術,尤其是在網絡和通信領域應用的近期發展�����,還非常強調了商務涉及的信息安全及信息安全的責任���。2000年12月�����,ISO27000-1:1999《信息安全管理實施細則》通過了國ji標準化組織ISO的認可��,正式成為國ji標準---ISO/IEC17799-1:2000《信息技術-信息安全管理實施細則》。2002年9月5日,ISO27000-2:2002草案經過廣泛的討論之后,終于發布成為正式標準����,ISO27000-2:1999被廢止���。
現在���,ISO27000:2005標準已得到了很多國家的認可,是國際上具有代表性的信息安全管理體系標準����。目前除英國之外���,還有荷蘭����、丹麥��、澳大利亞���、巴西等國已同意使用該標準����;日本�����、瑞士���、盧森堡等國也表示對ISO27000:2005標準感興趣�����,我國的臺灣、香港也在推廣該標準�。許多國家的政府機構����、銀行��、證券、保險公司�、電信運營商��、網絡公司及許多跨國公司已采用了此標準對自己的信息安全進行系統的管理。截至2002年9月�����,全球共有142家各類組織通過了ISO27000:2005信息安全管理體系認證。
三���、ISO27001信息安全管理體系認證主要內容
ISO/IEC(BS7799-1)對信息安全管理給出建議,供負責在其組織啟動��、實施或維護安全的人員使用�����。該標準為開發組織的安全標準和有效的安全管理做法提供公共基礎����,并為組織之間的交往提供信任�����。
標準指出“像其他重要業務資產一樣�,信息也是一種資產”���。它對一個組織具有價值���,需要加以合適地保護���。信息安全防止信息受到的各種威脅�����,以確保業務連續性,使業務受到損害的風險減至蕞小,使投資回報和業務機會蕞大���。
信息安全是通過實現一組合適控制獲得的?��?刂瓶梢允遣呗浴T例�����、規程�、組織結構和軟件功能。需要建立這些控制���,以確保滿足該組織的特定安全目標。
四�、ISO27001信息安全管理體系認證的特點
1�����、ISO27001標準是為了與其他管理標準,比如ISO9000和ISO14001等相互兼容而設計的,這一標準中的編號系統和文件管理需求的設計初衷��,就是為了提供良好的兼容性�,使得組織可以建立起這樣一套管理體系:能夠在蕞大程度上融入這個組織正在使用的其他任何管理體系。一般來說,組織通常會使用為其ISO9000認證或者其他管理體系認證提供認證服務的機構�����,來提供ISO27001認證服務��。正是因為這個緣故�,在ISMS體系建立的過程中�,質量管理的經驗舉足輕重。
2、ISO27001管理體系的框架
ISO組織于2013年9月26日��,推出了蕞新的版本ISO/IEC27001:2013信息安全管理體系標準�,其框架圖如下:
3��、PDCA持續改進理論
基于PDCA循環框架構建信息安全管理體系���,通過規劃����、設計實施��、監控審計����、以及持續改進,保證體系運作的有效性和長效性,真正實現信息安全的持續改進和優化���,從而保障組織的業務安全。
五、實施ISO27001標準認證的意義
1、通過定義、評估和控制風險���,確保經營的持續性和能力
2、減少由于合同違規行為以及直接觸犯法律法規要求所造成的責任
3、通過遵守國ji標準提高企業競爭能力,提升企業形象
4��、明確定義所有組織的內部和外部的信息接口目標:謹防數據的誤用和丟失
5��、建立安全工具使用方針
6�����、謹防技術訣竅的丟失
7、在組織內部增強安全意識
8、可作為公共會計審計的證據
六�、哪些企業適合做ISO27001
以信息為生命線的行業:
1�����、金融行業:銀行、保險、證券�、基金�����、期貨等
2�����、通信行業:電信����、網通����、移動、聯通等
3���、其他公司:外貿、進出口����、HR�����、獵頭、會計師事務所等
對信息技術依賴度高的行業:
1��、鋼鐵�����、半導體����、物流
2����、電力�����、能源
3����、外包(ITO或BPO):IT�����、軟件�、電信IDC�����、呼叫中心�����、數據錄入�,數據處理加工等
工藝技術要求高
1����、醫院、藥械
2����、電子、精細化工
3��、科研機構
七���、申請ISO27001信息安全管理體系認證基本條件
1��、中國企業持有工商行政管理部門頒發的《企業法人營業執照》���、《生產許可證》或等效文件���;外國企業持有關機構的登記注冊證明����。
2����、申請方的信息安全管理體系已按ISO/IEC 27001:2005標準的要求建立,并實施運行3個月以上。
3����、至少完成一次內部審核���,并進行了管理評審�。
4�、信息安全管理體系運行期間及建立體系前的一年內未受到主管部門xingzhengchufa。
八��、ISO27001信息安全管理體系認證辦理周期
一般來說�����,從組織啟動 ISMS建設項目開始��,到蕞終通過審核,至少要有2-5個月時間。對于很多因為外部驅動力而決心實施 ISO27001 認證項目的組織來說,提早進行規劃是必要的。
