ISO27001信息安全管理系统标（biāo）准简介（jiè）（1）

您（nín）的当前位置：首页 >> 服务项目（mù） >> ISO27001

ISO27001信息安（ān）全（quán）管理系统标准简介（1）

所属分（fèn）类：ISO27001
点击次数（shù）：
发（fā）布日期：2021/06/17
在线询价

详（xiáng）细介绍

在日趋网络化的世界里，「信（xìn）息」对建立竞争优势起着举足轻重（chóng）的作用（yòng）。但它同时也是柄（bǐng）双刃剑（jiàn），当信息被（bèi）意外（wài）或刻意的传给恶（è）意（yì）的接收（shōu）者时，同样的（de）信（xìn）息也可能导致一所（suǒ）机构倒闭。在当今的信息时（shí）代，科（kē）技无疑为我们解决了不少问题。

国际标准组织(ISO)应此类（lèi）需求，制定了ISO27001:2005标准，为如何建（jiàn）立（lì）、推行（háng）、维（wéi）持及改善（shàn）信息安全管理系（xì）统提（tí）供帮助（zhù）。信息安全管理（lǐ）系统(ISMS)是（shì）高（gāo）层管理人员（yuán）用以监察及控制信息（xī）安全、减（jiǎn）少商业风（fēng）险和确保保安系统持续符（fú）合企业、客户及法律要求的一个体（tǐ）系。ISO/IEC 27001:2005 能协助机构保护zhuanli信息，同时也为制定统一的（de）机构保安标准（zhǔn）搭（dā）建了一个平（píng）台（tái），更有（yǒu）助于提升安全管理的实务（wù）表现和增强机构间商业（yè）往来的信（xìn）心与信任。

什么机（jī）构（gòu）可采用 ISO/IEC 27001:2005 标准？
任何使用内部或外部电脑系统、拥有机密资料及/或依靠信息系统（tǒng）进行商业活（huó）动地机构，均（jun1）可采用（yòng） ISO/IEC 27001:2005标准。简单的说，也就是那些需要处理信息、并认识到信息保护重要性（xìng）的机构。

ISO/IEC 27001 的控制（zhì）目标及措施
ISO/IEC 27001制定的宗旨（zhǐ）是确（què）保机构信息的机密性、完整（zhěng）性及（jí）可用性，为（wéi）达成上述宗旨，该标准共提出了39个控制目标及134项控制措施，推行ISO/IEC 27001标（biāo）准的机（jī）构可在其（qí）中选（xuǎn）择适用于其（qí）业务的控制（zhì）措施，同时也可（kě）增加（jiā）其（qí）他（tā）的控制措施。而（ér）与ISO/IEC 27001相辅的 ISO 17799:2005 标准是（shì）信（xìn）息安全管理的（de）实（shí）务守（shǒu）则（zé），为如何推行控制措施提供（gòng）指引。

ISO/ IEC 27001:2005 的架构
ISO/ IEC 27001:2005 标准在 2005 年 10 月公布，同时取缔了多国（guó）采纳的英国标准BS 7799-2:2002 ，但（dàn）新旧（jiù）标准（zhǔn）的要求并无（wú）太大分（fèn）别（bié）。ISO / IEC 27001:2005 标（biāo）准以（yǐ） Edward Deming 博士提出（chū）的（de）“计（jì）划-实施（shī）-核查-采取行动”循（xún）环周期作为制定蓝（lán）图，以实现持续改善的目标。

I. 计划（huá）
      计（jì）划较重要的部分是（shì）设定涵盖的范畴及区域，它可以是（shì）：
      覆（fù）盖整个组（zǔ）织（zhī）并涉及（jí）多个地点的（de）办事处（chù）及/或厂房（fáng）
      只涉及一个（gè）办事处或（huò）厂房（fáng）
      只涉及一个多元化服务供应（yīng）商（shāng）的其中一个业务
      计划的主要工作（zuò）包括信息安全管理系统、风险评（píng）估、风险管理、风险处理（lǐ）措施和（hé）适用性报告。