本文深入解析ISO27001标准在企业安全管理中的重要性,阐述了该标准的发展历程,强调了组织在信息安全上的不足,并详细介绍了ISO27001的四层文件体系结构,包括信息安全手册、一级文件、二级文件和三级、四级文件。同时,提到了ISO27001涵盖的11个控制领域、39个控制目标和133个控制措施,指出其在内外合规中的关键角色,帮助企业满足法规要求并提升管理效能。
俗话说"三分技术七分管理"
目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
信息安全管理体系标准发展历史
目前,在信息安全管理体系方面,ISO/IEC27001:2005–信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英国标准BS7799转换而成的。BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准,适用于大、中、小组织。2000年12月,BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准----- ISO/IEC17799:2000《信息技术-信息安全管理实施细则》,后来该标准已升版为标准版。
ISO27001 标准要求的ISMS 文件体系应该是一个层次化的体系,通常是由四个层次构成的:
信息安全手册:该手册由信息安全委员会负责制定和修改&
最低0.47元/天 解锁文章
7078
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
