| ISO/IEC 27001:2005信息安全管理体系 |
ISO27001是国际信息安全领域的重要标准,它来源于英国标准协会(British Standards Institute,BSI)于1995年2月制定的信息安全管理标准——BS7799,BS7799分两个部分,其第一部分于2000年被ISO组织采纳,正式成为ISO/IEC 17799标准。该标准2005年经过最新改版,发展成为ISO/IEC 17799:2005标准。BS7799标准的第二部分经过长时间讨论修订,也于2005年成为正式的ISO标准,即ISO/IEC 27001:2005.
ISO27001:2005标准,是建立信息安全管理体系(ISMS)的一套规范(Specification for Information Security Management Systems),其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准。
ISO27001分为两个部分:ISO27001-1,信息安全管理实施细则;ISO27001-2,信息安全管理体系规范。第一部分主要是给负责开发的人员作为参考文档使用,从而在他们的机构内部实施和维护信息安全;第二部分详细说明了建立、实施和维护信息安全管理系统的要求,指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象,并对自己的需求采取适当的控制。
作为一套管理标准,ISO27001指导相关人员怎样去应用ISO/IEC 17799,其最终目的,在于帮助企业建立适合自身需要的信息安全管理体系。 |
|
