管理体系专题
ISO27001信息安全管理体系
什么是ISO/IEC27001认证?
ISO/IEC27001:2013信息安全管理体系,是由国际标准化组织于2013年9月正式颁布的标准。ISO/IEC27001:2013标准为所有行业的机构提供了一套业务工具,协助其避免信息保安的失误,从而降低了相应的风险。
推行ISO/IEC27001的必要性
病毒破坏、黑客攻击、系统瘫痪、员工失误和恶意破坏、商业间谍等,越来越多的信息安全问题成为组织生存和发展的重要安全隐患。基于最新国际标准ISO/IEC27001:2013的信息安全管理体系(Information Security Management System, ISMS)是目前国际上先进的信息安全解决方案,正在被越来越多的组织所采用。它运用PDCA过程方法和133项信息安全控制措施来帮助组织解决信息安全问题,实现信息安全目标。ISMS认证是一个组织证明其信息安全水平和能力符合国际标准要求的有效手段,它将帮助组织节约信息安全成本,增强客户、合作伙伴等相关方的信心和信任,提高组织的公众形象和竞争力。
ISO/IEC27001成功推行的因素
组织实施ISO/IEC27001关键在于:
1)关注企业的需求;
2)始终把信息安全作为实施企业风险管理、为组织的商业健康发展采取有成本效益措施的一部分;
3)把信息安全作为企业文化的一部分;
4)确保信息安全是有效开展ISMS,确保企业在持续改进过程中保持企业安全性的持续发展的过程;
5)在企业采取多种安全措施,不应将安全问题只交给IT部门,应把安全体系贯彻到管理层和各个部门。
ISO/IEC27001已经成为信息安全管理体系的国际通用语言,已通过组织证明,本标准会为企业带来诸多益处,能确保组织安全、健康发展,并使企业在充满风险的环境中获得成功。