什麼是ISO27001信息安全管理體係
ISO/IEC27001:2005標準的英文全稱是“Information technology - Security techniques - Information security management systems - requirements”����,翻譯成中文為“信息技術—安全技術—信息安全管理體係 要求”。ISO27001是信息安全管理體係(ISMS)的規範標準���,是為組織機構提供信息安全認證執行的認證標準��,其中詳細說明了建立���、實施和維護信息安全管理體係的要求。它是BS7799-2:2002由國際標準化組織及國際電工委員會轉換而來����,並於2005年10月15日頒布。
國際標準 ISO/IEC27001是由聯合技術委員會ISO/IEC JTC1(信息技術)的 SC27 分會(安全技術)起草的。
ISO27001信息安全管理體係標準為建立����、實施����、運行�、監視�����、評審���、保持和改進信息安全管 理體係(ISMS)提供了模型。ISMS的采用是組織的戰略性決策。組織ISMS的設計和實施受組織需求���、目標��、安全需求����、應用的過程以及組織規模和結構 的影響。經過一段時間����,組織及其支持係統會發生改變。因此ISMS的實施應與組織的需要相一致���,如��,簡單的環境隻需要一個簡單的ISMS解決方案。
ISO27001信息安全管理體係標準可被內外部的相關方用於評估符合性。
信息安全管理體係(Information Security Management System���,簡稱為ISMS)是1998年前後從英國發展起來的信息安全領域中的一個新概念�����,是管理體係(Management System����,MS)思想和方法在信息安全領域的應用。近年來����,伴隨著ISMS國際標準的製修訂���,ISMS迅速被全球接受和認可��,成為世界各國�����、各種類 型�����、各種規模的組織解決信息安全問題的一個有效方法。ISMS認證隨之成為組織向社會及其相關方證明其信息安全水平和能力的一種有效途徑。
ISO27001信息安全管理體係的目標:是透過一整體規劃的信息安全解決方案���,來確保企業所有信息係統和業務的安全�,並保持正常運作。
信xin息xi安an全quan管guan理li體ti係xi利li用yong風feng險xian分fen析xi管guan理li工gong具ju�����,結jie合he企qi業ye資zi產chan列lie表biao和he威wei脅xie來lai源yuan的de調tiao查zha分fen析xi及ji係xi統tong安an全quan弱ruo點dian評ping估gu等deng結jie果guo��,並bing綜zong合he評ping估gu影ying響xiang企qi業ye整zheng體ti的de因yin素su�����,來lai製zhi定ding適shi當dang的de信xin息xi安an全quan政zheng策ce與yu信xin息xi安an全quan作zuo業ye準zhun則ze���,從cong而er降jiang低di潛qian在zai的de風feng險xian危wei機ji。
在ISMS的要求標準ISO/IEC27001:2005(信息安全管理體係 要求)的第3章術語和定義中����,對ISMS的定義如下:
ISMS(信息安全管理體係):是整個管理體係的一部分。它是基於業務風險方法��,來建立�、實施��、運行�����、監視�����、評審��、保持和改進信息安全的。注:管理體係包括組織結構����、方針策略��、規劃活動��、職責�、實踐����、程序�����、過程和資源。
這個定義看上去同其他管理體係的定義描述不盡相同����,但我們也可以用ISO GUIDE 72:2001(Guidelines for the justification and development of management system standards管理體係標準合理性和製定導則)中管理體係的定義�,將ISMS描述為:組織在信息安全方麵建立方針和目標���,並實現這些目標的一組相互關 聯�、相互作用的要素。
ISO27001信息安全管理體係ISMS同其他體係MS(如ISO9001質量管理體係QMS�����、ISO14001環境管理體係EMS��、OHSAS18001職業健康安全管理體係OHSMS)一樣�����,有許多共同的要素���,其原理�����、方法�、過程和體係的結構也基本一致。
單純從定義理解����,可能無法立即掌握ISMS的實質����,我們可以把ISMS理解為一台"機器"���,這 台機器的功能就是製造"信息安全"���,它由許多"部件"(要素)構成��,這些"部件"包括ISMS管理機構��、ISMS文件以及資源等����,ISMS通過這些"部 件"之間的相互作用來實現其"保障信息安全"的功能。
