正規ISO認證,國家認監委可查,一個月左右下證,包輔導包通過,不過退款 
ISO9001質量認證平臺
深圳iso認證全包式服務
輔導-認證-包過-低價
 李老師:15220227293

          0755-21033850

ISO9001 quality certification platform
在線客服
 工作時間
周一至周五 :8:30-17:30
周六至周日 :9:00-17:00
 聯系方式
QQ:1801949861
電話::15220227293
iso認證詳情

ISO27001標準

發表時間:2021-08-14 11:30作者:電話15220227293


ISO27001標準


    ISO27001標準,信息安全管理體系(Information security management systems,簡稱ISMS)(即ISO/IEC 27000系列)是目前國際信息安全管理標準研究的重點。


      27000 系列共包括10個標準,當前已經發布和在研究的有6個,分別為:


          1、ISO/IEC 27000《信息安全管理體系 基礎和詞匯》;


          2、ISO/IEC 27001:2005《信息安全管理體系 要求》;


          3、ISO/IEC 17799:2005《信息安全管理實用規則》(2007年4月后,編號將改為27002);


          4、ISO/IEC 27003《信息安全管理體系實施指南》;


          5、ISO/IEC 27004《信息安全管理測量》;


          6、ISO/IEC 27005《信息安全風險管理》。



2021517

ISO27001標準


ISO/IEC 27001


      Information technology -- Security techniques -- Information security management systems --Requirements


      信息技術—安全技術—信息安全管理體系—要求


      該標準源于BS7799-2,主要提出ISMS的基本要求,已于2005年10月正式發布。


標準介紹:


      ISO27001用于為建立、實施、運行、監視、評審、保持和改進信息安全管理體系(Information Security Management System,簡稱ISMS)提供模型。采用ISMS應當是一個組織的一項戰略性決策。一個組織的ISMS的設計和實施受業務需求和目標、安全需求、所采用的過程以及組織的規模和結構的影響。上述因素及其支持過程會不斷發生變化。期望信息安全管理體系可以根據組織的需求而測量,例如簡單的情形可采用簡單的ISMS解決方案。


     ISO27001標準可以作為評估組織滿足顧客、組織本身及法律法規的信息安全要求的能力的依據,無論是組織自我評估還是評估供方能力,都可以采用,也可以用作獨立第三方認證的依據。


ISO/IEC 27002


      Information technology -- Security techniques -- Code of practice for information security management


      信息技術—安全技術—信息安全管理實踐規則


      該標準將取代 ISO /IEC 17799:2005 ,直接由ISO/IEC 17799:2005更改標準編號為ISO/IEC 27002,計劃2007年4月實施。


標準介紹:


      本標準為在組織內啟動、實施、保持和改進信息安全管理提供指南和通用的原則。本標準概述的目標提供了有關信息安全管理通常公認的目標的通用指南。


      本標準的控制目標和控制措施預期被實施以滿足由風險評估所識別的要求。本標準可以作為一個實踐指南服務于開發組織的安全標準和有效的安全管理實踐,幫助構建組織間活動的信心。


      本標準包含的實施規則可以認為是開發組織具體指南的起點。本實施規則中的控制和指導并不全都是適用的。而且,可能需要本標準中未包括的附加控制和指南。當開發包括附加控制和指南的文件時,包括對本標準適用的條款進行交叉引用可能是有用的,該交叉引用便于審核員和商業伙伴進行符合性核查。


ISO/IEC 27003


      Information technology -- Security techniques -- Information security management systems implementation guidance


      信息技術—安全技術—信息安全管理體系實施指南


標準介紹:


      該標準為按照ISO/IEC 27001建立、實施、運作、監控、評審、維持和改進信息安全管理體系提供應用實施指南。


      該標準適用于所有類型、所有規模和所有業務形式的機構。各類組織可以利用本標準,實施符合ISO/IEC 27001的信息安全管理體系。


ISO/IEC 27004


      Information technology -- Security techniques -- Information security management —Measurements


      信息技術—安全技術—信息安全管理—測量


      該標準闡述信息安全管理的測量和指標,用于測量信息安全管理的實施效果,預計2008年5月發布。該標準目前處于委員會草案狀態。


標準介紹:


      ISO27001標準提供指南和建議,用于評估按照ISO/IEC 27001建立的ISMS、控制目標以及控制措施的有效性。


      管理者可以使用本標準作為有效的測量方法,判斷信息安全管理體系的有效性。測量結果可以作為評審現有控制有效性的輸入,以決定是否需要更改或改進。

業界廣泛采用的關于信息安全管理體系的英國標準——BS 7799-2:2002,經修訂后,于2005年10月15日作為國際標準ISO/IEC 27001:2005發布。

本文旨在向組織指出標準的變化及在實際應用中的意義,協助組織做好向新標準過渡的準備。



ISO27001標準的正式標題是::《BS 7799-2:2005 (ISO/IEC 27001:2005)信息技術-安全技術-信息安全管理體系-要求》這意味著它不僅僅是IT標準,標題中的“信息技術-安全技術”表明它還是以ISO委員會(JTC1/SC27)的名義發表的。該標準的焦點還是放在貫穿組織的信息安全管理上。盡管大部分控制在實際中會在IT部門或IT組織內部實現,但總體上標準執行的重點仍應放在業務信息的風險上。



標準的主要改變在于它現在是國際公認的,這意味著除了英國標準的國際認可,組織可以構建一個全球性的框架來管理他們的信息安全。不管是為了組織自身的商業信息,如財政信息,知識產權,職員資料等等,或者是客戶或第三方與組織間溝通的信息,標準都是適用的。實際上,它是組織能夠對他們的信息安全管理系統進行客觀獨立評估的唯一國際標準。



新版的國際標準已經有一系列更新來闡明鞏固原始英國標準——BS 7799-2:2002的要求。這些更新主要集中在以下范圍:風險評估、合同責任、范圍、管理決策以及所選控制措施有效性的測量等。對于采用BS7799-2:2002的組織來說,新版的國際標準并沒有太大的影響。最大的影響就是要求對所選的控制措施或控制措施組合的有效性進行測量。(詳見ISO27001標準:2005的4.2.2 d)



下面是該標準重大改變的解釋概要。附錄A是一個顯示BS 7799-2:2002和 ISO/IEC 27001:2005之間的變化的表格?!禝SO/IEC 27001:2005》。



范圍和界線

在執行信息安全管理體系的時候,組織所要做的第一件事就是定義ISMS的范圍?,F在國際標準要求組織定義ISMS的范圍和界線[4.2.1 a],包括被排除在范圍外的詳細說明及理由。盡管富有經驗的BSI審核員在評估過程中也會尋找這些東西,但是現在把這個要求加到標準中了,如果組織打算超越根據2002版標準取得的認證而達到新標準的要求,就必須把這個要求考慮在內。



評估風險

該國際標準的基礎是:信息的保護是基于業務信息的風險,該風險能促使組織運用合適的措施來保護業務的安全。很少有業務信息會暴露在多種風險之下,因此太多的安全措施可能使公司花費過多的成本。



ISO27001標準的一個重大改變是組織現在需要詳細說明(并文件化)風險評估的步驟[4.2.1 c],這也意味著挑選并文件化風險評估方法將會使風險評估“產生可比較、可重復的結果” [4.2.1 c 和 4.3.1 d]。目前已通過BS 7799-2:2002認證的組織不會把這點看成一個比較大的變化,因為在評估過程中已經考慮過它了。打算通過BS 7799-2:2002認證的組織可能會把它看成該國際標準的新要求。



風險評估按照計劃的時間間隔[4.2.3 d]進行復查,對風險評估和風險處理計劃[7.3 b]的更新進行復查管理已經是標準的要求。這個要求必須作為組織信息安全管理體系的管理復查的一部分[7.1],至少一年完成一次。


ISO27001證書.jpg

ISO27001標準

在對BS 7799-2:2002版標準進行審核的過程中,審核員應該根據ISMS的方針和目標[4.3.1],尋找所選擇的控制措施與風險評估結果和風險處理程序之間的關系。盡管BS 7799-2:2002標準提到過這點,但現在已經在國際標準中闡明了。想獲得BS 7799-2:2002認證的組織可以把它看作國際標準的新要求。



合同責任

除了法律法規的要求,該國際標準還特別強調在所有ISMS所有過程中的合同責任,包括風險評估、風險處理、控制選擇、記錄控制、資源、ISMS的監視和復查、以及文件要求。



通過BS 7799-2認證的組織現在需要做什么?

需要特別注意的是:新的國際標準是雙重的,既可以是ISO/IEC 27001:2005,又可以是 BS 7799-2:2005。這種情況會持續一段時間(預期2年左右),這就意味著BS 7799-2:2005認證和ISO/IEC 27001:2005認證沒有什么不同。然而,目前所有通過現行的BS 7799-2:2002認證的組織必須考慮2005版本的變化,及時更新他們信息安全管理體系。



通過BS 7799-2:2002認證的組織會逐步轉換到ISO/IEC 27001認證。轉換期限多久現在還不得而知,要等待國際認可論壇(IAF),或國家認可機構(如UKAS)發表正式聲明來公布。實際上,在以后的監督審核中,會把這些不同點考慮在內;如果合適的話,建議客戶取得ISO/IEC 27001:2005標準的認證。


27001.png

會員登錄
登錄
其他帳號登錄:
留言
回到頂部