ISO 27001:2005(BS7799)信息安全管理体系
ISO 27001:2005 已经代替 BS 7799成为信息安全管理体系新标准。
今天,恐怕没有一个组织会否认信息安全的重要性,信息已经成为关系组织发展和持续运营的重要资产。而信息安全问题也已经引起国家、社会、公司甚至个人的广泛关注和高度重视。解决信息安全问题仅仅依靠安全产品和技术已不能满足组织对信息安全的需求,对安全产品和技术用安全管理来整合势在必行。BS 7799信息安全管理体系正是在这种情况下应运而生.
它主要包括三部分内容:
保密性 - 保护重要信息以防泄露
完整性 - 维护信息和软件的准确和完整
可用性 - 确保信息和服务在需要时能立即使用
ISO 27001对贵组织的好处?
1. 将更多精力集中在持续改进信息系统的安全性,因而能增加您合作伙伴和客户间的数据交换量
2. 通过营造公司内外的信任度, 巩固和加强竞争优势
3. 保证业务的连贯性,保护数据免受侵害以尽量减少损失
4. 在保证重要数据的安全的同时展示公司符合信息安全标准
5. 增强数据委托保管人的信心
常见问题解答:
ISO 27001涵盖了哪些方面?
ISO 27001覆盖信息交换的所有方面,从计算机数据到公共场所的交谈。其基本原则是防止有人滥用组织的信息。组织根据ISO 27001的标准制定自身的信息安全策略,以管理所有形式的信息通讯和数据储存。
ISO 27001 的两部分内容是什么?能否与其它管理系统整合?
第一部分,是信息安全管理实施细则(Code of Practice for Information Security Management),主要供负责信息安全系统开发的人员作为参考使用;第二部分,是建立信息安全管理体系(ISMS)的一套规范(Specification for Information Security Management Systems),其中详细说明了建立、实施和维护信息安全管理系统的要求,指出实施机构应该遵循的风险评估准则。
通过ISO9001,ISO14001或ISO18001质量管理体系审核的组织很容易导入ISO 27001信息安全系统,因为本标准被设计成易与其它国际管理标准相整合。
ISO 27001认证步骤是:
1. 签署合同
2. 预评审(可选择):差距分析,针对现阶段与标准不符合之处提出意见
3. 认证审核(通过者颁发证书)
4. 监督审核跟踪持续改进的情况
5. 三年后可以选择全面审核或连续审核的方式进行复审
6. 每一步骤结束之后,认证机构会迅速提交一份简单易懂的完整的报告,以帮助持续改进组织的质量管理体系
