一
二、
在人類邁入信息息時代的今天,組織在分享著現(xiàn)代科技帶來便利的同時,也面臨著信息安全的威脅。如何既能享用現(xiàn)代信息系統(tǒng)的快捷方便,又能充分防范信息的損壞和泄露,已成為當前企業(yè)迫切需要解決的問題。專家研究表明,信息安全在于保證信息的保密性、完整性、可用性三種屬性不被破壞。信息安全可使信息避免一系列威脅,保障業(yè)務的連續(xù)性,最大限度地減少業(yè)務的損失,獲取相關方的信任,以最大限度地獲得投資和業(yè)務的回報。
“七分管理,三分技術”的信息安全原則表明,解決信息安全問題不應僅從技術方著手,同時更應加強信息安全的管理工作,通過建立正規(guī)的信息安全管理體系以達到系統(tǒng)、全面地解決信息安全問題。ISO/IEC 27001標準目前是國際上公認的實現(xiàn)信息安全管理的最佳標準。該標準強調以風險管理為基礎的、全面的安全管理,目前該方法在世界范圍內得到了廣泛的認可。
三、
ISO 27001:2005是建立信息安全管理體系(ISMS)的一套需求規(guī)范(Information Security. Security techniques. Information security management systems. Requirements),其中詳細說明了建立、實施和維護信息安全管理體系的要求,指出實施機構應該遵循的風險評估標準,當然,如果要得到最終的認證(對依據(jù)ISO 27001:2005建立的ISMS進行認證),還有一系列相應的注冊認證過程。作為一套管理標準,ISO 27001:2005指導相關人員怎樣去應用ISO27002:2005,其最終目的,還在于建立適合組織需要的信息安全管理體系(ISMS)。
下表以標準原文目錄格式,列舉說明了ISO 27001:2005的主要內容。
