ISO27001信息安全管理（lǐ）系统（tǒng）标准简介（jiè）（1）

所属分类：ISO27001
点击次数：
发（fā）布（bù）日期：2021/06/17
在线询价

详细介（jiè）绍

在日趋网络化（huà）的世（shì）界里（lǐ），「信息（xī）」对建立竞（jìng）争（zhēng）优（yōu）势起着举足轻重的作用。但它（tā）同时也是柄双刃剑（jiàn），当（dāng）信（xìn）息被意外或（huò）刻意的（de）传（chuán）给恶意（yì）的接收者时，同（tóng）样的信息也可能导（dǎo）致一所机构（gòu）倒闭（bì）。在当今的信（xìn）息时代，科技无疑为（wéi）我们解决了不少问题（tí）。

国际标准组织(ISO)应此类需求，制定（dìng）了ISO27001:2005标准，为如何建立、推行、维持（chí）及改（gǎi）善信息安全管理系统提供帮助。信息安全管理系统(ISMS)是高（gāo）层（céng）管（guǎn）理人员用以监察及控制信息安（ān）全、减少商业风险和确保保安系统持续符（fú）合企（qǐ）业、客户及法（fǎ）律要求的一个体系（xì）。ISO/IEC 27001:2005 能协（xié）助机构保护（hù）zhuanli信息，同（tóng）时（shí）也（yě）为制定统（tǒng）一的机构保安标准（zhǔn）搭建（jiàn）了一（yī）个平台，更有助于（yú）提升安全管理的实（shí）务表现和增（zēng）强机构间商业往来的信心与信任。

什么机构可采（cǎi）用 ISO/IEC 27001:2005 标准？
任何使用内部或外（wài）部电脑系统、拥有（yǒu）机密资料（liào）及/或依靠信息（xī）系统进行商业（yè）活动地（dì）机构，均可采（cǎi）用 ISO/IEC 27001:2005标准。简单的（de）说，也就是（shì）那些需要处理信息、并认（rèn）识到信息保（bǎo）护（hù）重要性（xìng）的（de）机构。

ISO/IEC 27001 的控（kòng）制目标（biāo）及（jí）措施
ISO/IEC 27001制定的宗旨是确保机构信息的机（jī）密（mì）性、完（wán）整性（xìng）及可用性，为达成上述宗旨，该标准（zhǔn）共提出了39个控制目标（biāo）及134项控制措施，推（tuī）行ISO/IEC 27001标准的（de）机构可在（zài）其（qí）中选择（zé）适用于其业务的控制措施，同时也可增加其他的控制（zhì）措施。而与ISO/IEC 27001相辅的（de） ISO 17799:2005 标准是（shì）信息安全管理的实（shí）务守则，为如（rú）何推（tuī）行（háng）控制（zhì）措施提供指引。

ISO/ IEC 27001:2005 的（de）架构
ISO/ IEC 27001:2005 标准在（zài） 2005 年 10 月公布，同时取缔了（le）多国采纳的（de）英（yīng）国标准BS 7799-2:2002 ，但（dàn）新旧标准的要求并（bìng）无太（tài）大分别。ISO / IEC 27001:2005 标准以 Edward Deming 博（bó）士（shì）提出的“计划-实施-核查-采（cǎi）取行动”循环周期作为制定蓝图，以实现持续改善的目标（biāo）。

I. 计划
      计划较重要（yào）的（de）部分（fèn）是设定涵盖的范畴（chóu）及区域，它（tā）可以是：
      覆盖整个组织并涉及多个地点的办事处及/或（huò）厂房
      只涉及一个（gè）办（bàn）事处（chù）或厂房（fáng）
      只涉（shè）及一个多元化服务供应商的（de）其（qí）中一（yī）个业务（wù）
      计划的主要工作包（bāo）括信息安全管理系统（tǒng）、风险评估、风险管理（lǐ）、风险处理措（cuò）施和适用性报告。