对于刚刚接触ISO27001信息安全管理体系的你们,对于ISO27001体系一定有很多的疑惑想解开。ISO27001国际标准究竟是什么?它是怎样对一个组织进行有效的管理的?要怎样做才能顺利获取*等诸多问题。 广州宏儒认为企业进行ISO27001信息安全管理体系认证有必要了解以下几方面知识: 一、ISO27001的概念。 信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分: BS7799-1,信息安全管理实施规则 BS7799-2,信息安全管理体系规范。 二,与ISO27001密切相关的几个因素介绍。 IT治理和信息安全 ISO27001信息安全管理体系成为标准IT治理框架中的一个大基石。IT治理的基础部分是信息安全保护——包括确保信息的可用性、机密性和完整性——这是其他IT治理环节实施的前提。 信息安全和法律法规 ISO27001逐渐成为诸多合规项目的必要条件,同时针对信息安全管理体系认证逐渐成为各种组织的热门要求,ISO27001认证可以带给他们重要的潜在商机。 业内人士对ISO27001认证趋之若鹜,这其中有两个关键性的驱动因素:一是日益严峻的信息安全威胁,二是不断增长的信息保护相关法规的需求。 信息安全和技术 一个规范的信息安全管理体系必须明确指出,组织机构董事会和管理层应当负责相关信息安全管理体系的决策,同时,这个体系也应当能够反映这种决策,并且在运行过程中能够提供证据证明其有效性。 所以机构组织内部的信息安全管理体系的建立项目不必由一个技术*来**。事实上,技术*在很多情况下起到相反的作用,可能会阻碍项目进程。因此,这个项目应该由质量管理经理、总经理或者其他负责机构内部重大职能的执行主管负责主持。 信息安全标准 1995年,英国标准协会(BSI)发布BS7799标准,即ISMS(信息安全管理体系),旨在规范、引导信息安全管理体系的发展过程和实施情况。BS7799标准被外界认为是一个不偏向任何技术、任何企业和产品供应商的价值中立的管理体系。只要实施得当,BS7799标准将帮助企业检查并确认其信息安全管理手段和实施方案的有效性。