ISO 27001

信息安全管理体系介绍

ISO/IEC 27001信息安全管理体系 (ISMS-Information Security Management System) 标准为企业和单位提供一套管理工具,从而降低了风险并确保了企业业务的连续性。推行ISO/IEC 27001标准的组织将受益匪浅:按照国际标准实施适当的控制措施,组织便能自行将信息安全问题发生的概率降至最低;以系统化的方法处理信息安全合规问题,从而降低所需承担的法律责任风险;以系统化的方法计划及管理运营的持续性,增强客户、合作伙伴对组织的信心。

信息安全管理体系的主要内容

ISO/IEC 27001: 2013版标准包括14个控制域、35个控制目标和114项控制,为组织提供全方位的信息安全保障。在实施的过程中,组织可以根据企业的实际情况、法律法规合约等因素选择适用的控制措施,也可增加额外的控制措施。

实施信息安全管理体系的重要性

信息及其支持过程的系统和网络都是组织的重要资产。信息的保密性、完整性和可用性对于维护组织的竞争优势、资金流动、效益、法律符合性和商务形象是至关重要的。任何组织及其信息系统(如组织的ERP系统)和网络都可能面临着包括计算机欺诈、刺探等破坏行为,以及火灾、水灾等大范围的安全威胁。随着计算机的日益发展和普及,计算机病毒、非法入侵破坏已变得日益普遍和错综复杂。
组织可以参照信息安全管理模型,按照先进的信息安全管理标准——ISO 27001标准建立组织完整的信息安全管理体系并实施,形成动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,使信息风险的发生概率和损失降低到可接受水平,并采取措施保障业务不会因风险的发生而中断。组织建立、实施与保持信息安全管理体系可以:
  • 强化员工的信息安全意识,规范组织信息安全行为
  • 保护组织的关键信息,维持组织竞争优势
  • 在信息系统受到侵袭时,确保业务可持续开展并将损失降到最低程度
  • 让组织的业务伙伴和客户对组织充满信心