介绍

ISO / IEC 27001正式规定了信息安全管理体系（ISMS），这是一套有关信息风险管理的活动（标准中称为“信息安全风险”）。 ISMS是一个总体管理框架，组织通过该框架识别，分析和解决其信息风险。 ISMS确保安全安排得到调整，以跟上新的安全威胁、漏洞和业务影响的变化 - 这一动态领域的一个重要方面，以及ISO27000关键优势灵活的风险管理方法。

ISO / IEC 27000系列标准是由国际标准化组织（ISO）和国际电工委员会（IEC）提出的，以帮助公司组织保护其信息安全。

ISO / IEC 27001：2013，通常简称为ISO 27001，建立了与信息安全管理体系（ISMS）相关的要求，这是一种保护信息资产安全的系统方法，包括流程，IT系统和人员，并涉及采用风险管理处理。 ISO 27001还包括评估和解决信息安全风险的指南。

全球各地拥有ISO27001证书数量分布：

捡证网提供专业的ISO27001培训辅导和认证，联系电话：18621757170 QQ：495226609

ISO 27001可以帮助组织实施网络安全战略，IT管理和资产保护。ISO 27001还可以帮助他们响应事件，减轻威胁，减少停机时间并最大限度地减少损失。它帮助实体建立一个系统，以保护他们的信息免受安全威胁，如网络犯罪，病毒攻击，故意破坏，恐怖主义，滥用信息，盗窃和火灾等。

通过与捡证网合作，捡证网可以向客户保证他们拥有有效的信息安全管理体系ISMS。通过我们的认证审核，我们为您提供可用于改善运营的信息，并使您能够向客户，员工，供应商和其他利益相关者提供保障。

该标准涵盖所有类型的组织（例如商业企业，政府机构，非营利组织），各种规模（从微型企业到大型跨国公司），以及所有行业或市场（例如零售，银行，国防，医疗保健，教育和政府） ）。这显然是一个非常广泛的简要介绍。

此外，管理层可以选择避免，分享或接受信息风险，而不是通过控制来缓解风险 - 风险管理流程中的风险处理决策。

ISO27001的历史

ISO / IEC 27001源自BS 7799第2部分，由英国标准协会于1999年首次出版。

BS 7799第2部分于2002年进行了修订，明确纳入了戴明式的PDCA：计划 - 执行 - 检查 - 行动周期。

BS 7799第2部分于2005年被采纳为ISO / IEC 27001，并进行了各种更改以反映其新的保管人。

ISO / IEC 27001：2005于2013年进行了广泛修订，使其与其他ISO管理体系标准保持一致，并明确提及PDCA。有关详细信息，请参阅时间表页面。

标准的结构

ISO / IEC 27001：2013有以下部分：

0简介 - 该标准描述了系统地管理信息风险的过程。

1范围 - 它规定了适用于任何类型，大小或性质的组织的通用ISMS要求。

2规范性引用 - 只有ISO / IEC 27000被认为对'27001的用户绝对必要：剩余的ISO27000标准是可选的。

3术语和定义 - 见ISO / IEC 27000。

4组织背景 - 理解组织背景，“利益相关方”的需求和期望，并确定ISMS的范围。第4.4节非常明确地指出“组织应建立，实施，维护和持续改进”ISMS。

5领导 - 高层管理人员必须表现出对ISMS的领导和承诺，授权政策，并分配信息安全角色，职责和权限。

6规划 - 概述识别，分析和计划处理信息风险的过程，并阐明信息安全的目标。

7支持 - 必须分配足够的，有能力的资源，提高认识，编写和控制文件。

8操作 - 有关评估和处理信息风险，管理变更和记录事物的更多细节（部分原因是它们可以由认证审核员进行审核）。

9绩效评估 - 监控，测量，分析和评估/审核/审查信息安全控制，流程和管理系统，在必要时系统地改进。

10改进 - 解决审计和审查的结果（例如不合格和纠正措施），不断改进ISMS。

大多数组织都有许多信息安全控制。但是，如果没有信息安全管理系统（ISMS），控制往往有些混乱和脱节，经常作为特定情况的点解决方案或仅仅作为惯例来实施。运行中的安全控制通常专门针对IT或数据安全的某些方面;使非IT信息资产（如文书工作和专有知识）的整体保护较少。此外，业务连续性计划和物理安全可以完全独立于IT或信息安全进行管

捡证网提供专业的ISO27001培训辅导和认证，联系电话：18621757170  Email：[email protected]