信息安全管理体系
编辑:admin | 发布时间:admin|阅读量:81ISO27001:2005是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系;体系一旦建立,组织应按体系的规定要求进行运作,保持体系运行的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理方法、控制目标与控制措施、信息资产需要保护的程度等内容。
ISO/IEC27001认证标准的特点:
1、ISO/IEC27001认证标准对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;
2、该标准为开发组织的安全标准和有效的安全管理做法提供公共基础,并为组织之间的交往提供信任
3、标准指出“象其他重要业务资产一样,信息也是一种资产”,它对一个组织具有价值,因此需要加以合适地保护。
4、信息安全防止信息受到的各种威胁,以确保业务连续性,使业务受到损害的风险减小,使投资回报和业务机会增大。
通过ISO27001认证所能获得的效益:
1、通过定义、评估和控制风险,确保经营的持续性和能力;
2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任;
3、通过遵守国际标准提高企业竞争能力,提升企业形象;
4、明确定义所有组织的内部和外部的信息接口目标:谨防数据的误用和丢失;
5、建立安全工具使用方针;
6、谨防技术诀窍的丢失;
7、在组织内部增强安全意识;
8、可作为公共会计审计的证据。
