1.什么是ISO 27001
ISO 27001是信息安全管理体系认证。
2.ISO 27001标准很重要
信息是大多数当代组织的命脉,它提供情报,商业优势和推动成功的未来计划,大多数组织都以电子方式存储这些备受珍视的信息资产;因此,保护这些资产免受故意或意外损失,损害或破坏的重要性越来越重要,ISO27001是基于风险的合规性框架,旨在帮助组织有效地管理信息安全。
3.为什么ISO 27001等很重要?
许多行业和许多政府已经采用ISO27001作为信息安全管理实践的事实上的标准;在澳大利亚,通常是强制执行ISO的州政府级别,以及在ICT和数据中心托管等行业中,ISO尤其受欢迎,总体上为国内和全球经济提供了重大利益。
对消费者而言
符合的证明有助于向消费者保证产品,系统和组织是安全,可靠和对环境有益的。
对于企业而言,
可以成为帮助企业应对挑战并在全球舞台上竞争的战略工具。
采用可以:打开新市场,通过提高客户满意度提高竞争力,降低成本,简化系统和流程,并提高生产率。
对于社会
标准,可以改善安全性,质量和环境成果,并鼓励国际贸易。
4.为什么ISO 27001很重要
拥有国际信息安全标准允许建立一个通用的框架来管理跨业务和跨边界的安全性,随着世界的联系越来越紧密,信息安全的重要性日益提高。
数据和信息需要安全,可靠并且可访问。信息的安全性对于个人隐私,财务和健康信息的机密性以及当今互联互通的系统和供应链的平稳运行至关重要。ISO27001为您提供了有效管理风险,选择安全控制以及重要的是实现,维护和证明符合标准的过程的框架,采用ISO27001提供了真正的信誉,您可以了解安全性并认真对待安全性。
5. ISO 27001的要素是什么?
ISO 27001由许多简短的条款和更长的附件组成,列出了14个安全域和114个控件。重要的简短条款涉及:
组织环境和利益相关者
信息安全领导和高层支持
计划信息安全管理系统(ISMS),包括风险评估;风险处理
支持ISMS
使ISMS投入运营
审查系统性能
采用纠正措施
6.如何运作,什么是基于风险的合规方法?
与其他高度安全的规范和控制驱动的支付卡行业数据安全标准(PCI-DSS)和Sarbanes-Oxley(SOX)等其他安全标准不同,ISO采取基于风险的方法来实现安全合规性。换句话说,无论业务操作的类型如何,都没有必须定义的安全控制集,而PCI-DSS就是这种情况;选择控制措施是基于其减轻组织风险的能力
ISO 27001涉及持续改进的过程以及对基于组织信息资产的风险来管理信息安全的明确承诺。
基于风险的信息安全管理方法可确保对安全风险进行适当的优先排序,成本有效地管理,并确保仅实施管理这些风险所需的那些控制措施。