ISO 27001
信息安全管理體系介紹
ISO/IEC 27001信息安全管理體系 (ISMS-Information Security Management System) 標準為企業和單位提供一套管理工具,從而降低了風險並確保了企業業務的連續性。推行ISO/IEC 27001標準的組織將受益匪淺:按照國際標準實施適當的控制措施,組織便能自行將信息安全問題發生的概率降至最低;以系統化的方法處理信息安全合規問題,從而降低所需承擔的法律責任風險;以系統化的方法計劃及管理運營的持續性,增強客戶、合作夥伴對組織的信心。
信息安全管理體系的主要內容
ISO/IEC 27001: 2013版標準包括14個控制域、35個控制目標和114項控制,為組織提供全方位的信息安全保障。在實施的過程中,組織可以根據企業的實際情況、法律法規合約等因素選擇適用的控制措施,也可增加額外的控制措施。
實施信息安全管理體系的重要性
信息及其支持過程的系統和網絡都是組織的重要資產。信息的保密性、完整性和可用性對於維護組織的競爭優勢、資金流動、效益、法律符合性和商務形象是至關重要的。任何組織及其信息系統(如組織的ERP系統)和網絡都可能面臨著包括計算機欺詐、刺探等破壞行為,以及火災、水災等大範圍的安全威脅。隨著計算機的日益發展和普及,計算機病毒、非法入侵破壞已變得日益普遍和錯綜復雜。
組織可以參照信息安全管理模型,按照先進的信息安全管理標準——ISO 27001標準建立組織完整的信息安全管理體系並實施,形成動態的、系統的、全員參與、制度化的、以預防為主的信息安全管理方式,用最低的成本,使信息風險的發生概率和損失降低到可接受水平,並采取措施保障業務不會因風險的發生而中斷。組織建立、實施與保持信息安全管理體系可以:
- 強化員工的信息安全意識,規範組織信息安全行為
- 保護組織的關鍵信息,維持組織競爭優勢
- 在信息系統受到侵襲時,確保業務可持續開展並將損失降到最低程度
- 讓組織的業務夥伴和客戶對組織充滿信心