一、信息安全管理体系的简介:
ISO/IEC27001:2005标准的英文全称是“Information technology - Security techniques - Information security management systems - requirements”,翻译成中文为“信息技术—安全技术—信息安全管理体系 要求”。ISO27001是信息安全管理体系(ISMS)的规范标准,是为组织机构提供信息安全认证执行的认证标准,其中详细说明了建立、实施和维护信息安全管理体系的要求。信息安全管理体系(Information Security Management System,简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念,是管理体系(Management System,MS)思想和方法在信息安全领域的应用。近年来,伴随着ISMS国际标准的制修订,ISMS迅速被全球接受和认可,成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。它是BS7799-2:2002由国际标准化组织及国际电工委员会转换而来,并于2005年10月15日颁布。
二、ISO27001信息安全管理体系的目标:是透过一整体规划的信息安全解决方案,来确保企业所有信息系统和业务的安全,并保持正常运作。我们可以把ISMS理解为一台"机器",这台机器的功能就是制造"信息安全",它由许多"部件"(要素)构成,这些"部件"包括ISMS管理机构、ISMS文件以及资源等,ISMS通过这些"部件"之间的相互作用来实现其"保障信息安全"的功能。
三、信息安全管理体系的建立流程
1.建立ISMS方针
2.风险评估
3.建立和编纂所需的记录
4.程序文件及作业指南
5.风险处置计划的建立
6.适用性说明
7.文件、记录的控制
8.资产识别