ISO/IEC 27001标准着重强调信息安全管理集成于组织的整体管理结构和运行过程,因此,信息安全管理体系需要与组织的运营过程相融合,组织只有全部采用并全部满足标准要求时,才能声称其信息管理体系符合ISO/IEC 27001标准。
ISO27001涉及的领域
1.信息安全方针和策略:依据业务要求和相关法律法规为信息安全提供管理指导和支持。
2.信息安全组织:建立一个管理框架,开展公司的信息安全工作。
3.人力资源安全:确保员工和外包方理解其职责,并履行信息安全职责,在任用终止时保护公司的利益。
4.资产管理:识别公司资产(主要指信息资产),将信息资产按照重要程度确定适当的防护级别。确保存储在介质中的信息资产不会泄露或破坏。
5.访问控制:限制对数据信息和数据处理设施(如服务器)的访问,保证授权用户对系统和服务的访问,并阻止未授权的访问。
6.密码:有效地使用密码技术以保护数据信息的保密性、真实性、完整性。
7. 物理和环境安全:阻止对数据信息和信息处理设施的未授权物理访问、损坏和干扰。防止资产的丢失、损坏、失窃或危及资产安全、业务连续性。
信息安全管理体系的作用
1.对于高度依赖信息网络化管理的组织,信息安全管理体系可嵌入组织的具体业务之中,可有效地避免或减少威胁,并为其他管理体系提升抵抗风险的能力,为组织的过程和人员、产品和服务、知识和资产等持续创造价值提供保障;
2.在组织的运营过程中,信息安全管理与组织的贸易伙伴、承包方和服务提供者息息相关,保证接收和提供的信息安全,不但有利于组织自身,也有利于组织的相关方,相关方往往更愿意在一个有效的信息安全管理体系环境下进行长久合作,从而为组织创造持续的成功机会;
3.无论是组织自身,还是顾客、或是第三方核查机构,都可以将ISO/IEC 27001等标准作为信息安全管理体系的评价准则,向社会证实其持续、稳定地控制信息安全的能力,从而达到增强相关方的信心、促进各方合规义务的履行。