400-009-6664

专注于IT服务的科技咨询公司

行业知识

您当前位置 > 主页 > 资讯中心 > 行业知识 > 详情

ISO27001信息安全管理体系认证范围与作用

ISO27001

    信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分:
    BS7799-1,信息安全管理实施规则
    BS7799-2,信息安全管理体系规范。
    第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
    2000年,国际标准化组织(ISO)在BS7799-1的基础上制定通过了ISO 17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO 17799再次修订,BS7799-2也于2005年被采用为ISO27001:2005。
    自2005年国际标准化组织(简称:ISO)将BS 7799转化为ISO 27001:2005发布以来,此标准在国际上获得了空前的认可,相当数量的组织采纳并进行了信息安全管理体系的认证。
    在我国,自从2008年将ISO27001:2005转化为国家标准GB/T 22080:2008以来,信息安全管理体系认证在国内进一步获得了全面推广。越来越多的行业和组织认识到信息安全的重要性,并把它作为基础管理工作之一开展起来。
    ISO27001认证范围
    信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。
    信息安全管理体系标准的作用
    信息安全管理体系也不单是IT部门的管理,其他部门的内容也很多。采购部:供应商保密协议签订、每年对供应上进行评定;销售部:客户满意度、标书的处理方法、标书的保管;财务部:文件密码设置管理、用章管理、软件做账的安全性、风险评估管理;研发部:方案设计流程管理,淘汰的方案管理等;管理部:对新员工、老员工不定期进行信息安全管理法进行培训,风险评估、完整性文件、可用性文件、保密性文件进行管控,员工录用必须签订保密协议和敬业协议等等.
    信息安全管理体系标准提供了科学的信息安全管理模型,其本身是一个系统化、程序化和文件化的管理体系,强调动态性和过程控制,在成本与风险控制的平衡中选择安全控制措施;强调系统、全面的风险评估,体现预防为主的思想;强调与国家信息安全法律和制度的符合性;强调对组织关键信息资产机密性、完整性、可用性的保护和业务的持续运作。
    通过标准实施,预期达到以下成果:在策略制度方面,形成从方针手册,到程序文件、操作规程直至记录表格在内的层次化的文件体系;在组织建设方面,建立决策、管理、执行和监督多维的组织架构,明确信息安全相关角色和职责;在风险管理方面,通过风险评估和处置过程,建立起全面的信息安全内部控制(包括技术和管理两个方面)机制,结合信息安全事件管理和业务连续性管理,确保组织从整体上将信息安全风险控制在可接受水平;在人员意识方面,通过有序组织信息安全培训及相关意识宣贯活动,确保人员具备基本的信息安全意识和操作技能;在支持保障方面,建立内/ 外部审核、管理评审、有效度量、日常检查等多项检查监督机制。

    阿斯科科技主要从事CMMIITSSISO27001认证、ISO20000认证等IT体系咨询,信息安全服务资质(CCRC)咨询服务以及IT培训服务等.欢迎咨询:400-009-6664

阅读上一篇新闻:CMMI 2.0四种评估方法[图解]      阅读下一篇新闻:为什么需要CMMI V2.0?[图解]

服务案例查看更多