ISO27001信息安全管理體系的定義與功能

2019/3/8 15:22:01 次

　　信息安全管理認(rèn)證是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)活動(dòng)，關(guān)于信息安全風(fēng)險(xiǎn)的指導(dǎo)和控制活動(dòng)通常包括制定信息安全方針、風(fēng)險(xiǎn)評(píng)估、控制目標(biāo)與方式選擇、風(fēng)險(xiǎn)控制、安全保證等。而要對(duì)組織的信息的安全性進(jìn)行高效、動(dòng)態(tài)的管理就必須依據(jù)信息安全管理模型和信息安全管理標(biāo)準(zhǔn)構(gòu)建組織的信息安全管理體系。

　　現(xiàn)在對(duì)ISO27001信息安全管理體系(Information Security Management System, ISMS)還沒有一個(gè)明確的定義。在ISO27001中信息安全管理體系可以被理解為是組織管理體系的一部分，專門用于組織的信息資產(chǎn)風(fēng)險(xiǎn)管理，確保組織的信息安全，包括為制定、實(shí)施、評(píng)審和保持信息安全方針?biāo)枰慕M織機(jī)構(gòu)、目標(biāo)、職責(zé)、程序、過程和資源。信息安全管理體系中包含很多的“反饋環(huán)路”。這些“反饋環(huán)路”可以對(duì)系統(tǒng)的安全性進(jìn)行監(jiān)測(cè)和控制，以此使組織的殘余風(fēng)險(xiǎn)最小化，確保組織滿足客戶和法律的要求。

　　一個(gè)有效的ISO27001信息安全管理體系具有如下功能:

　　1. 強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織的信息安全行為。

　　2. 對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競(jìng)爭(zhēng)優(yōu)勢(shì)。

　　3. 使組織本著預(yù)防和系統(tǒng)持續(xù)發(fā)展的觀點(diǎn)處理意外事件和損失，在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度。

　　4. 使組織的生意伙伴和客戶對(duì)組織充滿信心。

　　5. 使組織定期地考慮新的威脅和脆弱點(diǎn)，并對(duì)系統(tǒng)進(jìn)行更新和控制。

　　6. 促使管理層堅(jiān)持貫徹信息安全保障體系。

　　總之，ISO27001信息安全管理體系提供了考慮安全、維持安全、改進(jìn)安全所必需的工具，即管理安全的工具。

　　在認(rèn)證領(lǐng)域內(nèi)，立標(biāo)顧問擁有的審核團(tuán)隊(duì)，其中大多數(shù)審核員擁有多標(biāo)準(zhǔn)資質(zhì)。這一龐大的多技能審核員隊(duì)伍意味著立標(biāo)能夠同時(shí)在全國不同的地點(diǎn)處理多標(biāo)準(zhǔn)審核，加快合規(guī)保證過程，使您的項(xiàng)目無憂管理。