ISO27001信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。

1999年BSI重新修改了该标准。

BS7799分为两个部分:BS7799-1,信息安全管理实施规则BS7799-2,信息安全管理体系规范。

第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。

ISO/IEC27001对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用。

该标准为开发组织的安全标准和有效的安全管理做法提供公共基础,并为组织之间的交往提供信任。

信息安全管理体系标准指出“象其他重要业务资产一样,信息也是一种资产”。

它对一个组织具有价值,因此需要加以合适地保护。

信息安全防止信息受到的各种威胁,以确保业务连续性,使业务受到损害的风险减至最小,使投资回报和业务机会最大。

信息安全是通过实现一组合适控制获得的。

控制可以是策略、惯例、规程、组织结构和软件功能。

需要建立这些控制,以确保满足该组织的特定安全目标。

上述公司认为企业达到了CMM标准就足以应付这些问题,可事实上CMMI 无法使其摆脱这些问题所带来的困扰。

在经过一段时间探试和研究后,该公司采用了ISO27001 标准。

ISO27001 标准是由英国标准协会(British Standards Institution, BSI )针对信息安全管理方面而制定的,最初源于英国标准BS7799,经过十年的不断改版,终于在2005年被国际标准化组织发布为正式的国际标准,用于组织 的信息安全管理体系的建立,保障组织的信息安全,采用相关指定方法,基于风险评估的风险管理理念,全面系统地持续改进组织的安全管理。

是目前世界上唯一的 信息安全管理标准,已被全球五千多家政府机构和**企业所采用。

如今是否通过ISO27001认证在某些行业中,已经成为一些客户的要求条件之一。

目前除 英国外,还有荷兰、丹麦、澳大利亚、巴西等国已同意使用该标准;日本、瑞士、卢森堡等国也表示对 ISO27001 标准感兴趣;我国的台湾、香港也在推广该标准。

许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对自己的信 息安全进行系统的管理。

这套标准注重体系的完整性,强调对法律法规的符合性,并且可与ISO9000 标准有很强的兼容性。

公司可通过ISO27001体系建设和实施,建立了完备的信息安全管理体系,为公司各项安全相关活动提供了明确的目标和操作指南。

同时,通过系统的方法建立 起组织保障体系,具备了信息安全风险驾驭能力,保证了公司核心业务的可持续运行。

通过把ISO27001 的要求引入业务流程,使现有的业务运作更加安全规范,全面提升了公司本身和客户信息资产的安全度,尤其是加强了对客户知识产权和商业秘密的保护,提高了对 客户信息安全的保障水平。

不仅如此,在公司通过ISO27001标准认证过程中,强化员工的信息安全意识,规范组织信息安全行为,在信息系统受到侵袭时, 仍然可以确保业务持续开展并将损失降到最低程度。