▲符合法律法规要求: 信息安全管理体系的实施,要求组织遵守所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识 产权、商业秘密等。

▲维护企业的声誉、品牌和客户信任: 信息安全管理体系的实施向合作伙伴、股东和客户表明组织为保护信息而付出的努力,令其对组织的信心将得到加强。有助于确定组织在同行业内的竞争优势,提升其市场地位。

▲履行信息安全管理责任: 信息安全管理体系的实施能证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。

▲增强员工的意识、责任感和相关技能: 信息安全管理体系可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。

▲保持业务持续发展和竞争优势: 信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。

▲实现业务风险管理:信息安全管理体系的实施有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。

▲减少损失,降低成本: 信息安全管理体系的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到最低程度。

ISO 27001认证

为了获得 ISO 27001认证,组织需要满足信息安全标准中详述的要求,组织是否已这样做取决于认证审核,认证审核由经认可的审核员执行(所有管理体系标准遵循相同的认证过程)

对于该领域的新手,一些最难处理的要求是与风险管理相关的要求,这是因为风险管理不是大多数企业(尤其是中小企业)默认做的事情。

ISO 27001 中相当具体的风险定义可能会使这个问题进一步复杂化,它不是一些包罗万象的、定义不明确的潜在危害,但是,正如 ISO/IEC 27000 中定义的那样,“风险”是“不确定性对目标的影响”。

ISO 27001认证有什么要求?

ISO 27001 中的风险管理要求可在第 6 条计划和第 8 条操作中找到

第6条包含希望实施 ISO 27001 的组织必须遵循的“大部分”风险管理要求,具体而言,该标准在第 6.1 条中详细规定了总体风险评估和处理过程。

6.1.1 对信息安全管理体系 (ISMS) 本身提出了一般要求,这些包括确保 ISMS 能够实现其预期结果并实现持续改进。

然后它转向第一个风险管理要求,它们是通用的,要求组织计划:

6.1.2 涉及初始风险评估,也就是说,必须ISO 27001遵循的步骤来确定您的组织面临的风险,要求组织必须定义和应用信息安全风险评估流程,以便:

◆建立和维护风险评估标准。

◆ 确保所有信息安全风险评估产生一致、有效和可比的结果。

◆识别信息安全风险

◆ 分析信息安全风险,以及;

◆评估信息安全风险

概括

虽然风险管理起初似乎是一个挑战,但分解后,它会变得容易一些,认识到组织可能面临的困难,ISO 制定了许多指导文件,最有用的是ISO 31000,有了可用的指导和关键利益相关者的支持,风险管理可以从耗时的挑战转变为组织优势。