ISO27001信息安全管理體系的定義與功能

2019/3/8 15:22:01 次

　　信息安全管理認證是指導和控制組織的關于信息安全風險的相互協(xié)調(diào)活動，關于信息安全風險的指導和控制活動通常包括制定信息安全方針、風險評估、控制目標與方式選擇、風險控制、安全保證等。而要對組織的信息的安全性進行高效、動態(tài)的管理就必須依據(jù)信息安全管理模型和信息安全管理標準構(gòu)建組織的信息安全管理體系。

　　現(xiàn)在對ISO27001信息安全管理體系(Information Security Management System, ISMS)還沒有一個明確的定義。在ISO27001中信息安全管理體系可以被理解為是組織管理體系的一部分，專門用于組織的信息資產(chǎn)風險管理，確保組織的信息安全，包括為制定、實施、評審和保持信息安全方針所需要的組織機構(gòu)、目標、職責、程序、過程和資源。信息安全管理體系中包含很多的“反饋環(huán)路”。這些“反饋環(huán)路”可以對系統(tǒng)的安全性進行監(jiān)測和控制，以此使組織的殘余風險最小化，確保組織滿足客戶和法律的要求。

　　一個有效的ISO27001信息安全管理體系具有如下功能:

　　1. 強化員工的信息安全意識，規(guī)范組織的信息安全行為。

　　2. 對組織的關鍵信息資產(chǎn)進行全面系統(tǒng)的保護，維持競爭優(yōu)勢。

　　3. 使組織本著預防和系統(tǒng)持續(xù)發(fā)展的觀點處理意外事件和損失，在信息系統(tǒng)受到侵襲時，確保業(yè)務持續(xù)開展并將損失降到最低程度。

　　4. 使組織的生意伙伴和客戶對組織充滿信心。

　　5. 使組織定期地考慮新的威脅和脆弱點，并對系統(tǒng)進行更新和控制。

　　6. 促使管理層堅持貫徹信息安全保障體系。

　　總之，ISO27001信息安全管理體系提供了考慮安全、維持安全、改進安全所必需的工具，即管理安全的工具。

　　在認證領域內(nèi)，立標顧問擁有的審核團隊，其中大多數(shù)審核員擁有多標準資質(zhì)。這一龐大的多技能審核員隊伍意味著立標能夠同時在全國不同的地點處理多標準審核，加快合規(guī)保證過程，使您的項目無憂管理。