ISO / IEC27001正式规定了信息安全管理体系(ISMS),这是一套有关信息风险管理的活动(标准中称为“信息安全风险”)。 ISMS是一个总体管理框架,组织通过该框架识别,分析和解决其信息风险。 ISMS确保安全安排得到调整,以跟上新的安全威胁、漏洞和业务影响的变化 - 这一动态领域的一个重要方面,以及ISO27000关键优势灵活的风险管理方法。
ISO / IEC27000系列标准是由化组织(ISO)和国际电工委员会(IEC)提出的,以帮助公司组织保护其信息安全。
ISO / IEC 27001:2013,通常简称为ISO27001,建立了与信息安全管理体系(ISMS)相关的要求,这是一种保护信息资产安全的系统方法,包括流程,IT系统和人员,并涉及采用风险管理处理。 ISO27001还包括评估和解决信息安全风险的指南。
ISO 27001可以帮助组织实施网络安全战略,IT管理和资产保护。ISO27001还可以帮助他们响应事件,减轻威胁,减少停机时间并大限度地减少损失。它帮助实体建立一个系统,以保护他们的信息免受安全威胁,如网络犯罪,病毒攻击,故意破坏,恐怖主义,滥用信息,盗窃和火灾等。
该标准涵盖所有类型的组织(例如商业企业,政府机构,非营利组织),各种规模(从微型企业到大型跨国公司),以及所有行业或市场(例如零售,银行,国防,医疗保健,教育和政府) )。这显然是一个非常广泛的简要介绍。
此外,管理层可以选择避免,分享或接受信息风险,而不是通过控制来缓解风险 - 风险管理流程中的风险处理决策。
