ISO/IEC27001(信息技術安全技術信息安全管理體系)的要求,是組織整體管理體系的壹個部分,是基於風險評估,來建立、實施、運行、監視、評審、保持和改進信息安全等壹系列的管理活動,是組織在整體或特定範圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。
ISO/IEC27001是建立和維護信息安全管理體系的標準,它要求組織通過壹系列的過程如確定信息安全管理體系範圍,制定信息安全方針和策略,明確管理職責,以風險評估為基礎選擇控制目標和控制措施等,使組織達到動態的、系統的、全員參與的、制度化的、以預防為主的信息安全管理方式。
ISMS認證針是對組織ISMS符合GB/T 22080/
ISO/IEC27001要求的壹種認證。這是壹種通過權威的第三方審核之後提供的保證:受認證的組織實施了ISMS,並且符合GB/T 22080/ ISO/IEC
27001標準的要求。通過認證的組織,將會被註冊登記。
信息安全對每個企業或組織來說都是需要的,所以信息安全管理體系認證具有普遍的適用性,不受地域、產業類別和公司規模限制。從目前的獲得認證的企業情況看,較多的是涉及保險、證券、銀行、金融產業鏈所涉及的行業(票據印刷、IC卡制造)以及為金融行業提供服務的企業、電信行業、電力行業、數據處理中心和軟件外包、軟件開發等行業。規定了為適應不同組織或其部門的需要而定制的安全控制措施的實施要求。
ISO27001信息安全管理體系將整個信息安全管理體系建設項目劃分成五個大的階段,並包含25項關鍵的活動,如果每項前後關聯的活動都能很好地完成,最終就能建立起有效的ISMS,實現信息安全建設整體藍圖,接受ISO27001審核並獲得認證更是水到渠成的事情。
壹:現狀調研階段:從日常運維、管理機制、系統配置等方面對組織信息安全管理安全現狀進行調研,通過培訓使組織相關人員全面了解信息安全管理的基本知識。
二:風險評估階段:對組織信息資產進行資產價值、威脅因素、脆弱性分析,從而評估組織信息安全風險,選擇適當的措施、方法實現管理風險的目的。
三:管理策劃階段:根據組織對信息安全風險的策略,制定相應的信息安全整體規劃、管理規劃、技術規劃等,形成完整的信息安全管理系統。
四:體系實施階段:ISMS建立起來(體系文件正式發布實施)之後,要通過壹定時間的試運行來檢驗其有效性和穩定性。
五:認證審核階段:經過壹定時間運行,ISMS達到壹個穩定的狀態,各項文檔和記錄已經建立完備,此時,可以提請進行認證。