ISO27001:2013标准介绍
ISO27001全称是信息安全管理体系,是一个,随着在世界范围内,信息化水平的不断发展,各类组织对IT系统的依赖也日益加重,信息技术几乎渗透到了世界各地和社会生活的方方面面,信息安全逐渐成为人们关注的焦点。对信息加以保护,防范信息的损坏和泄露,已成为当前组织迫切需要解决的问题。世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,英国的英国标准协会(BSI)于1995年提出BS7799标准得到更多国家的认可,并于2005年被ISO组织采纳,并转化为ISO27001:2005标准,该标准于2013年进行了改版。
标准的建立目的是为所有类型的组织,包括政府、银行、电讯、金融机构、研究机构、外包服务企业、软件服务企业等,在建立、实施、运行、监视、评审、保持和改进信息安全管理体系时提供模型,通过一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作,并规定了为适应不同组织或其部门的需要而制定安全控制措施的实施要求。
当相关组织建立ISO27001信息安全管理体系,并按要求运行了三个月以上,就可以向认证机构(认监委批准,有ISO27001审核资格的机构)提出申请,机构会安排审查员对企业进行审核,审核员会依据ISO27001的各项条款和要求,对企业内部的相关特定事项,比如账号和口令安全,电脑的日常使用,员工安全意识进行符合性检查,如果受审的企业实施了信息安全管理体系,并运行符合ISO27001标准的要求,那么审查员就会把审核资料和通过意见发回认证机构审核中心,审核中心终审后,会下发ISO27001信息安全管理体系认证证书,并把认证结果上传到全国认证认可信息公共服务平台(认监委)。
ISO27001认证所需基础资料
1、经营场所办公室的租赁合同/房产证
2、营业执照
3、内外部沟通的证据(涉及本部门主持的会议,由本部门提供; 涉及外部的保留证据,检查的单子保留底单)
4、目标指标管理方案
5、组织内外部环境因素清单
6、相关方清单
7、内审报告
8、管理评审报告
9、法律法规清单
10、合规性评价清单
ISO27001认证的好处
1、建立完善的标准化,企业建立并完善ISO27001信息安全管理体系,加强安全战略,控制信息泄露风险,利用标准化工具提升信息安全管理成熟度,有效降低企业正在面临的业务中断、信息泄露、运行安全,甚至个人隐私遭受侵犯的危险,可强化员工的信息安全意识,规范信息安全制度,科学有效的帮助企业提升信息安全管理。
2、全面提升信息安全,大多数组织的运行都无法脱离系统的信息安全管理。信息在质量、数量、分发的任何环节出现偏差都可能使您的业务面临风险。ISO27001信息安全管理体系标准专注于每一个关键风险,识别组织可能面临的危险。
3、通过定义、评估和控制风险,确保经营的持续性和能力
4、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任
5、通过遵守提高企业竞争能力,提升企业形象
6、明确定义所有组织的内部和外部的信息接口目标:谨防数据的误用和丢失
7、建立安全工具使用方针
8、谨防技术诀窍的丢失
9、在组织内部增强安全意识
10、可作为公共会计审计的证据
11、部分城市对认证通过的企业有补贴
综上,现在社会已经步入大数据时代,大数据如同一把双刃剑,在我们享受着大数据来带的便利时,其所带来的安全问题也开始成为企业的隐患。信息泄露、黑客袭击、病毒传播等等互联网信息安全问题层出不穷。为此,信息安全已经是个人、各个行业和政府都看重的一点。ISO27001目前作为,正迅速被全球所接受。依据ISO27001标准进行信息安全管理体系建设,是当前各行业组织在推动信息安全保护方面普遍的思路和正确的先进决策!