ISO27001 信息安全管理體系
ISO27001簡介
ISO/IEC27001是建立和維護信息安全管理體系的標準,它要求組織通過一系列的過程如確定信息安全管理體系范圍,制定信息安全方針和策略,明確管理職責,以風險評估為基礎選擇控制目標和控制措施等,使組織達到動態的、系統的、全員參與的、制度化的、以預防為主的信息安全管理方式。
起源和發展
ISO27001的前身為英國的BS7799標準,該標準由英國標準協會(BSI)于1995年2月提出,并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分:BS7799-1,信息安全管理實施規則BS7799-2,信息安全管理體系規范。第一部分對信息安全管理給出建議,供負責在其組織啟動、實施或維護安全的人員使用;第二部分說明了建立、實施和文件化信息安全管理體系(ISMS)的要求,規定了根據獨立組織的需要應實施安全控制的要求。
2000年,國際標準化組織(ISO)在BS7799-1的基礎上制定通過了ISO17799標準。BS7799-2在2002年也由BSI進行了重新的修訂。國際標準化組織在2005年對ISO17799再次修訂,BS7799-2也于2005年被采用為ISO27001: 2005。2013年修訂原版本,正式使用ISO/IEC27001:2013版。2022年10月,國際標準化組織正式發布了ISO/IEC 27001:2022版。
認證的意義
1、通過定義、評估和控制風險,確保經營的持續性和能力。
2、減少由于合同違規行為以及直接觸犯法律法規要求所造成的責任。
3、通過遵守國際標準提高企業競爭能力,提升企業形象。
4、明確定義所有組織的內部和外部的信息接口目標:謹防數據的誤用和丟失。
5、建立安全工具使用方針。
6、謹防技術訣竅的丟失。
7、在組織內部增強安全意識。
8、可作為公共會計審計的證據。
適用的企業
信息安全對每個企業或組織來說都是需要的,所以信息安全管理體系認證具有普遍的適用性,不受地域、產業類別和公司規模限制。從目前的獲得認證的企業情況看,較多的是:
認證基本條件
1、中國企業持有工商行政管理部門頒發的《企業法人營業執照》、《生產許可證》或等效文件;外國企業持有關機構的登記注冊證明。
2、申請方的信息安全管理體系已按標準的要求建立,并實施運行3個月以上。
3、至少完成一次內部審核,并進行了管理評審。
4、信息安全管理體系運行期間及建立體系前的一年內未受到主管部門行政處罰。
證書的維護
ISO27001體系認證證書統一由認監委歸口管理,可在認監委官方查詢系統查詢證書真偽。證書自發布之日起3年內有效,每年需要接受一次監督評估。
