ISO 27001是一个信息安全管理体系规范。它使用的词汇像“应该”和“必须”。它规定我们的需
求。它是对其中第一、第二和第三方的审计进行规范的。
第一方的审计是一个组织对该组织自己的行为进行审核,即自审。第二方审计的工作由一个合作组
织进行,这个合作组织通常是有一些商业关系的合作伙伴。第三方审计是由独立的第三方进行,如
认证机构或外部审计师。
实施细则或一套指引,使用的字眼例如“可以”和“建议”,它允许单个的组织机构选择执行哪些
标准元素,和不执行哪些。这种内在的元素可选择性意味着ISO 27002并不适合为审计提供坚实的
标准。而在这方面,ISO27001就不提供任何回旋余地。
任何实施ISMS的并且希望得到ISO 27001评审的组织,将必需遵守这个标准中的规格。
作为一个通用的规则,实施了以ISO 27001为基础的ISMS的组织需要密切注意该标准本身的措辞,
并要密切注意它的任何修改。与官方修改的任何不符,通常发生在3年和5年的认证周期内,将会影
响到现有的认证。
ISO27000系列标准相关知识:
信息是组织的血液,存在的方式各异。可以是打印,手写,也可以是电子,演示和口述的。当今商
业竞争日趋激烈,来源于不同渠道的信息,威胁到信息的一致性。它们来自内部,外部,意外的,
还可能是恶意的。随着信息储存,发送新技术的广泛使用,我们面临的各种风险也在增高。信息安
全越来越重要!信息安全不是有一个终端防火墙,或找一个24小时提供信息安全服务的公司就可以
达到的。它需要全面的综合管理。信息安全管理体系的引入,可以协调各个方面信息管理,使管理
更为有效。信息安全管理体系是系统的对组织敏感信息及信息资产进行管理,涉及到人,程序和信
息科技(IT)系统。需要建立广泛的信息安全方针。保证安全性,公正性。适用组织内部和客户。信
息安全管理体系ISMS正成为世界上管理体系标准销售增长量zui大的产品。
信息安全管理体系(Information surity management systems,简称ISMS)(即ISO/I 27000
系列)是目前国际信息安全管理标准研究的重点。
ISO27000系列共包括10个标准,当前已经发布和在研究的有6个,分别为:
1、ISO/I 27000《信息安全管理体系 基础和词汇》;
2、ISO/I 27001:2005《信息安全管理体系 要求》;
3、ISO/I 17799:2005《信息安全管理实用规则》(2007年4月后,编号将改为27002);
4、ISO/I 27003《信息安全管理体系实施指南》;
5、ISO/I 27004《信息安全管理测量》;
6、ISO/I 27005《信息安全风险管理》。
信息安全风险评gu估的收费标准
根据评gu估对象的不同而不同。风险评gu估的对象可以是:单个独立的信息系统、支持组织业
务的整体信息处理环境、整个组织范围。信息安全风险评gu估的费用主要依据以下几个方面进行核算:
网络规模
联网单位或客户端抽样比例
被评gu估系统的多少
被评gu估信息设备的多少
被评gu估的组织范围大小
相关文章:
1、ISO/TS27001体系认证咨询简介
2、ISO27001:2005标准特点
3、哪些企业适用ISO27001信息安全管理
4、ISO27001对企业有哪些好处?
5、ISO27001管理体系建立和运行步骤
6、BS7799,ISO17799与ISO27001的关系
7、ISO27001建设内容
8、ISO27001标准控制重点
9、如何保障信息安全
10、ISO27001涉及的五个工作
中山南朗镇--------建立ISO27001信息安全管理体系的原则:
信息安全管理是指导和控制企业或机构的关于信息安全风险的相互协调的活动,信息安全管理实际
上是风险管理的过程,管理的基础是风险的识别与评gu估。系统的信息安全管理主要体现以下原则:
★采用目前国际管理界公认的过程方法来建立并实施体系,将活动和相关的资源作为过程进行管理
,并系统地识别和管理组织所用的过程,特别是过程之间的相互作用,以改善组织总体的效率和有
效性。
★按照美国著名质量管理专家戴明的PDCA持续改进模式来对信息安全管理体系的诸过程及其相互作
用进行管理。
★将国际信息安全界公认的信息安全zui佳惯例有序地形成标准,供各类组织在风险识别、风险评
价的基础上进行选择实施,将风险降至企业或机构可以接受的水平。