ISO27001信息（xī）安（ān）全管理系统标准简介（1）

所（suǒ）属分类：ISO27001
点击次数：
发布（bù）日期：2021/06/17
在线询价（jià）

详细介绍

在日（rì）趋网（wǎng）络化的世界里，「信（xìn）息」对建立竞争优势起着举足轻重的作用（yòng）。但它同时（shí）也是柄双刃剑，当（dāng）信（xìn）息被意外或刻意的传给恶意的接收（shōu）者时，同样（yàng）的信息也（yě）可能导致一所机构倒闭。在当（dāng）今的信息时（shí）代，科技无疑为我们解决了不少问题。

国际标（biāo）准组织(ISO)应此类（lèi）需求，制定了ISO27001:2005标准，为（wéi）如何建立、推行、维持及（jí）改善信息安全管理系统提供帮（bāng）助。信息（xī）安全管理系统(ISMS)是高层管理人员用（yòng）以监（jiān）察及控制信息安全、减少商业风险和（hé）确保保（bǎo）安系统持续符合企业、客户及法律要（yào）求（qiú）的一个体系。ISO/IEC 27001:2005 能协助机构保（bǎo）护zhuanli信息，同（tóng）时也（yě）为制定统一的机构保安标准搭建了一个平台，更（gèng）有助于提升安全管理的实务表现和增强机构间（jiān）商业往来（lái）的信心与（yǔ）信任（rèn）。

什么（me）机构可（kě）采用 ISO/IEC 27001:2005 标准？
任何使用内部或外（wài）部（bù）电脑系统（tǒng）、拥有机密资料及/或依靠（kào）信息（xī）系统进行商业活（huó）动地（dì）机（jī）构，均可（kě）采（cǎi）用 ISO/IEC 27001:2005标准。简单的说，也就是那些需要处理信息、并（bìng）认识到信（xìn）息保（bǎo）护重要性的机构（gòu）。

ISO/IEC 27001 的（de）控制目标及（jí）措施
ISO/IEC 27001制（zhì）定（dìng）的宗旨是确保机构信息的（de）机密性、完整性及可（kě）用性，为达成上（shàng）述宗旨，该标准（zhǔn）共提出了（le）39个（gè）控制目标及134项控制措（cuò）施，推行ISO/IEC 27001标（biāo）准的机构可在其中选择适用于其业（yè）务的控制措施（shī），同（tóng）时也可增加其（qí）他的控制措（cuò）施。而与ISO/IEC 27001相辅（fǔ）的 ISO 17799:2005 标准是信息（xī）安全（quán）管理的（de）实务（wù）守则，为如何推行（háng）控（kòng）制措施提供指引。

ISO/ IEC 27001:2005 的架构
ISO/ IEC 27001:2005 标（biāo）准（zhǔn）在 2005 年 10 月公（gōng）布，同（tóng）时（shí）取（qǔ）缔了多国采纳的英国标准BS 7799-2:2002 ，但新（xīn）旧标准的要求并无太大分别。ISO / IEC 27001:2005 标准以（yǐ） Edward Deming 博士提出（chū）的“计划-实施-核查-采取行动”循环周期作为制定蓝图，以实现持续改善的目标。

I. 计划
      计划较重要的（de）部分（fèn）是设（shè）定涵盖的范畴及区域，它可以（yǐ）是：
      覆盖（gài）整个组织并（bìng）涉及多个地点的办（bàn）事处及/或厂（chǎng）房（fáng）
      只涉及一个办事处或厂房
      只涉及（jí）一个多元（yuán）化（huà）服务供应商的（de）其中一个（gè）业务
      计划的主（zhǔ）要（yào）工（gōng）作包（bāo）括（kuò）信息（xī）安全（quán）管理（lǐ）系统、风险评（píng）估、风险（xiǎn）管理、风险处理（lǐ）措施和（hé）适用性报告。