ISO 27001证明企业已经采取了必要的防范措施,保护未授权人员不能获得或篡改敏感信息。 ISO 27001证书由第三方认证机构颁发,证明已经根据最佳实践标准认证了企业的信息安全管理体系,符合标准要求。
什么是ISO 27001标准?
ISO 27001标准采用了一种过程方法,用于建立,实施,运作,监控,审核,维护和推进组织的信息安全管理体系。
ISO 27001是由国际标准化组织(ISO)制定的,是一项认证标准。它取代了BS7799,是一项国际信息安全管理体系标准。ISO 27001以BS 7799为根据,对该标准了进行重新组织并与其他国际标准接轨。还包括某些新的控制措施,例如强调了信息安全量度和事件管理。
该标准还援引了其他标准,例如ISO/IEC 17799:2005, ISO 13335系列,ISO/IEC TR 18044:2004 和《经济合作与发展组织信息系统与网络安全准则--发展安全文化》,为实施信息安全提供指导原则。
与其他管理体系标准的一致性
ISO 27001体系与其他管理体系接轨,保证了与相关管理体系的连贯统一的实施和运行。
其结果是:
- 与其他管理体系标准,例如ISO9001和ISO14001保持和谐统一
- 强调对信息安全管理体系进行持续的过程改进
- 澄清文件和记录的要求
- 采用计划,执行,检查和行动(PDCA)过程模型的风险评估和管理过程
保护企业资产
该项标准针对信息安全采用了综合性措施。需要保护的财产包括数字化信息,书面文件和物理资产(计算机和网络)到员工个人的知识。企业要解决的问题包括提高员工的能力到针对计算机欺诈采取技术保护措施。
ISO27001会从下列方面进行信息保护:
- 机密性:保证只有授权人员才能获取相关信息
- 完整性:保证信息和处理方法的准确性和完整性
- 可用性:保证授权用户在需要时可以获取信息和相关资产
