ISO27001信（xìn）息（xī）安全管理系统（tǒng）标准（zhǔn）简介（jiè）（1）

所属（shǔ）分类：ISO27001
点击次数：
发布日期：2021/06/17
在线询价

详细（xì）介绍

在（zài）日趋（qū）网络（luò）化的（de）世界里，「信息」对建立（lì）竞争优势起着举足（zú）轻重的作用。但它同时也是柄（bǐng）双刃剑，当信息被意外或刻意的传（chuán）给恶意的接收（shōu）者时，同（tóng）样的（de）信息也可能导（dǎo）致一所机构倒闭。在当今的（de）信息时代，科技无疑为（wéi）我们（men）解决了（le）不少问题。

国际（jì）标准组织(ISO)应（yīng）此类（lèi）需求（qiú），制（zhì）定（dìng）了ISO27001:2005标准，为如何建（jiàn）立、推行（háng）、维持及改（gǎi）善信息安（ān）全管理系统提（tí）供帮助。信息安（ān）全管理（lǐ）系统(ISMS)是高（gāo）层管理人（rén）员用以监察及控（kòng）制信息（xī）安全、减少商业风险和确保保安系（xì）统（tǒng）持（chí）续符合企业、客户及法律要求的一个体系。ISO/IEC 27001:2005 能协（xié）助机构保护zhuanli信息，同时也（yě）为制定（dìng）统一的机构保安标准搭建了一个平台，更有助于提升安全（quán）管理的实务表（biǎo）现和（hé）增强（qiáng）机构间商业往（wǎng）来的信心与信任。

什么机构可采（cǎi）用 ISO/IEC 27001:2005 标准？
任何使用内部或外（wài）部电（diàn）脑（nǎo）系统、拥有（yǒu）机密（mì）资料及/或依靠信息（xī）系统进行（háng）商业活动地（dì）机构，均可采用 ISO/IEC 27001:2005标准。简单（dān）的说，也就是那些需要处理信息（xī）、并（bìng）认（rèn）识到（dào）信息保护重（chóng）要性的机构。

ISO/IEC 27001 的控制（zhì）目标及措施
ISO/IEC 27001制定的宗旨是确保机构信息的机密性、完（wán）整性及可用性，为达成上述宗（zōng）旨，该标准共提（tí）出了39个控（kòng）制目（mù）标及134项（xiàng）控制措施，推行ISO/IEC 27001标准的机构可（kě）在其中选择适用于（yú）其（qí）业务的（de）控制措施，同时（shí）也可增加（jiā）其他的（de）控制（zhì）措施。而与ISO/IEC 27001相辅的 ISO 17799:2005 标（biāo）准是信息安全（quán）管理的实务守则，为（wéi）如何推行控制措施（shī）提供指引。

ISO/ IEC 27001:2005 的（de）架构
ISO/ IEC 27001:2005 标准在（zài） 2005 年（nián） 10 月（yuè）公布，同时取（qǔ）缔（dì）了（le）多国（guó）采纳的英国标（biāo）准BS 7799-2:2002 ，但新（xīn）旧（jiù）标（biāo）准的要求并无（wú）太大分别。ISO / IEC 27001:2005 标准以 Edward Deming 博士提出的“计划-实施-核（hé）查-采取行动（dòng）”循环周期作为制定蓝图（tú），以（yǐ）实现（xiàn）持续改善的目（mù）标。

I. 计（jì）划
      计划较重要的（de）部分是设定涵盖的范（fàn）畴（chóu）及（jí）区域，它可以是：
      覆盖整个（gè）组织并涉及（jí）多（duō）个地点的办事处及/或厂房
      只（zhī）涉及一个办事处或厂房
      只涉及一个（gè）多元化服务（wù）供应商的其中（zhōng）一个（gè）业务（wù）
      计划（huá）的主要工作包（bāo）括（kuò）信息安（ān）全管理系统、风（fēng）险评估、风险（xiǎn）管理、风（fēng）险处（chù）理措（cuò）施和适用性报告。