针对ISO/IEC 27000的受认可的认证,是对组织信息安全管理体系(ISMS)符合ISO/IEC 27000 要求的一种认证。这是一种通过权威的第三方审核之后提供的保证:受认证的组织实施了ISMS,并且符合ISO/IEC 27000标准的要求。通过认证的组织,将会被注册登记。ISO/IEC 27000可以作为评估组织满足客户、组织本身以及法律法规所确定的信息安全要求的能力的依据。
建立ISMS对组织的意义
组织可以参照信息安全管理模型,按照先进的信息安全管理标准建立完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,使信息风险的发生概率和结果降低到可接受水平,并采取措施保证业务不会因风险的发生而中断。组织建立、实施与保持信息安全管理体系将会:
1、 强化员工的信息安全意识,规范组织信息安全行为;
2、对组织的关键信息资产进行全面系统的保护,维持竞争优势;
3、在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;
4、使组织的生意伙伴和客户对组织充满信心。
三、ISMS信息安全管理体系的三大要素
1、保密性:确保只有经过授权的人才能存取信息。
2、完整性:维护提供使用的信息为正确与完整的,未受破坏或篡改。
3、可用性:确保经过授权的用户在需要时可以存取信息并使用相关信息。
总的来说,凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论,都是信息安全所要研究的范畴,也是信息安全所要实现的目标。
四、为什么要进行ISMS认证
根据CSI/FBI的报告统计, 65%的组织至少发生了一次信息安全事故&#