ISO27000

像其他重要业务资产一样,信息也是一种资产。它对一个组织具有价值,因此需要加以合适地保护。信息安全防止信息受到的各种威胁,以确保业务连续性,使业务受到损害的风险减至最小,使投资回报和业务机会最大。


ISO/IEC27000——信息安全管理体系标准,可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO/IEC27000是信息安全管理体系基础和术语,ISO/IEC27000提供了ISMS标准族中所涉及的通用术语及基本原则,是ISMS标准族中最基础的标准之一。ISMS标准族中的每个标准都有“术语和定义”部分,但不同标准的术语间往往缺乏协调性,而ISO/IEC27000则主要用于实现这种协调。ISO27001类似于质量管理体系ISO9001标准。当您的组织通过了ISO27001的认证,就相当于通过ISO9001的质量认证一般,表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。


ISO27000信息安全管理体系要求的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出。

BS7799分为两个部分: 

BS7799-1,信息安全管理实施规则。对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;

BS7799-2,信息安全管理体系规范。说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。


通过ISO27001,可以证明:

1. 符合法律法规要求。可以向权威机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。

2. 履行信息安全管理责任。证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。

3. 强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。

4. 全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。

5. 实现风险管理。有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。

6. 减少损失,降低成本。ISMS的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到最低程度。

京公网安备:11010202009565