ISO27001 信息安全管理体系

ISO27001 信息安全管理体系

ISO27001简介

ISO/IEC27001是建立和维护信息安全管理体系的标准,它要求组织通过一系列的过程如确定信息安全管理体系范围,制定信息安全方针和策略,明确管理职责,以风险评估为基础选择控制目标和控制措施等,使组织达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式。

和发展

ISO27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分:BS7799-1,信息安全管理实施规则BS7799-2,信息安全管理体系规范。第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。

2000年,国际标准化组织(ISO)在BS7799-1的基础上制定通过了ISO17799标准。BS7799-2在2002年也由BSI进行了重新的修订。国际标准化组织在2005年对ISO17799再次修订,BS7799-2也于2005年被采用为ISO27001: 2005。2013年修订原版本,正式使用ISO/IEC27001:2013版。2022年10月,国际标准化组织正式发布了ISO/IEC 27001:2022版。


认证的意义

1、通过定义、评估和控制风险,确保经营的持续性和能力。

2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任。

3、通过遵守国际标准提高企业竞争能力,提升企业形象。

4、明确定义所有组织的内部和外部的信息接口目标:谨防数据的误用和丢失。

5、建立安全工具使用方针。

6、谨防技术诀窍的丢失。

7、在组织内部增强安全意识。

8、可作为公共会计审计的证据。

用的企业

信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是:


1、IT和技术服务提供商:包括软件开发公司、云服务提供商、数据中心和网络服务提供商,这些组织负责管理和保护客户的数据和信息。
2、金融行业:银行和金融机构需要对客户的个人和财务数据进行保护,因此要求对信息进行高级别的保护,以防止关键信息泄露和欺诈等风险。
3、政府和公共部门:政府机构、市政当局和其他公共部门处理大量的公民信息和敏感数据,包括个人身份信息和税务信息。
4、通信行业:特别是大型通信设备供应商,全面实施其核心技术保护ISO27001标准已成为这些企业的较佳选择。
5、研究机构、医药行业:涉及到机密的研发和设计信息,需要确保知识产权和商业机密的保密性。
6、电力、能源、物流行业:行业对信息技术依赖度较高。
总的来说,任何一个组织,无论其所处的行业和领域,只要其处理、存储和管理敏感信息,都可以通过ISO 27001认证来确保信息安全。

证基本条件

1、中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。

2、申请方的信息安全管理体系已按标准的要求建立,并实施运行3个月以上。

3、至少完成一次内部审核,并进行了管理评审。

4、信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。

证书的维护

ISO27001体系认证证书统一由认监委归口管理,可在认监委官方查询系统查询证书真伪。证书自发布之日起3年内有效,每年需要接受一次监督评估