1995年,国际组织ISO(国际标准化组织)和IEC(国际电工委员会)提出了一组标准,这些标准合并了与信息安全范围相关的准则,以27000系列为代表。该组包括ISO / IEC 27002(以前的17799:

2005标准),该国际标准列出了最佳实践代码以支持组织中信息安全管理系统(ISMS)的实施。

通过提供完整的实施指南,它描述了如何建立控件。反过来,应根据对公司最重要资产的风险评估来选择这些控制措施。与许多管理者的看法相反,ISO 27002可用于支持任何类型的小型或大型,公共或私人,营利性或非营利性组织中的ISMS实施;不仅在科技公司。

ISO 27002目标

ISO 27002的主要目标是建立组织中信息安全管理的启动,实施,维护和改进管理的准则和一般原则。这还包括选择,实施和管理控制措施,并考虑到公司中发现的风险环境。

ISO 27002:对公司有好处

ISO 27002认证所提供的优势对于公司而言具有代表性,主要是因为它们已得到全球认可,了解与应用标准相关的一些好处:

更好地了解信息安全;

更好地控制敏感资产和信息;

提供实施控制策略的方法;

发现和纠正弱点的机会;

减少不执行ISMS或确定政策和程序的责任风险;

对于获得认证的客户而言,这成为竞争优势。

通过精心设计和管理的流程和机制改善组织;

通过预防信息安全事件来促进成本降低;

构成ISO 27002的主要项目是什么?

该标准的主要部分在以下各节中进行设置,它们与信息安全控制相对应,值得记住的是,组织可以将这些指南用作ISMS开发的基础。如下:

第5节-信息安全政策

应根据公司的信息安全政策创建文档,其中应包含信息安全的概念,用于建立目标和控制形式的结构,管理层对政策的承诺以及许多其他因素。

第6节–组织信息安全

为了在公司中实施信息安全,有必要建立一个框架来适当地管理它,为此,信息安全活动应由组织的代表协调,组织的代表必须明确定义职责,保护机密信息。

企业环境中信息安全的重要一步

遵循ISO / IEC 27002认证原则是确保公司信息安全的高度相关步骤,从这个意义上讲,最重要的是强调公司在其安全团队中拥有经过认证的专业人员,为实施与该规范相关的良好实践的过程以及获得ISO 27001认证提供更多支持的重要性。

了解更多iso认证可联系商通检测!