我們將解釋ISO 27001是什么以及它與IT管理系統(tǒng)的關(guān)系ISO 27001是IT系統(tǒng)的國際標(biāo)準(zhǔn)，提供保護公司IT資產(chǎn)安全的政策和程序。它構(gòu)成了更廣泛的ISO 27000 IT標(biāo)準(zhǔn)系列的一部分，所有這些標(biāo)準(zhǔn)都涉及信息安全管理系統(tǒng)，但具體涉及將業(yè)務(wù)的安全流程統(tǒng)一到一個管理平臺中。

ISO 27001的一個主要部分是控制公司的風(fēng)險管理策略，找出可能使公司數(shù)據(jù)面臨風(fēng)險的問題，并制定流程和程序以防止出現(xiàn)問題。

ISO 27001匯集了系統(tǒng)和指南，以及如果對業(yè)務(wù)進行審計以分析其流程的認(rèn)證。在20世紀(jì)90年代開發(fā)ISO 27001(或首次公知的BS7799)之前，組織通常有多種服務(wù)來處理數(shù)據(jù)安全性和風(fēng)險，因此開發(fā)了ISO 27001以將所有這些服務(wù)集中在一個標(biāo)準(zhǔn)之下。

例如，在ISO 27001之前，企業(yè)的某些領(lǐng)域可能被視為高風(fēng)險，因此有正式的政策來管理數(shù)據(jù)的處理方式，而同一公司的基礎(chǔ)設(shè)施的其他部分，如文書工作，可能不是這樣的好好照顧。通過新標(biāo)準(zhǔn)，企業(yè)能夠在一個地方管理所有這些組件。

ISO 27001的目的是在一個地方或一個管理解決方案中保護所有內(nèi)容，這些解決方案可以由整個組織的管理人員監(jiān)督，而不是每個經(jīng)理都有責(zé)任只監(jiān)控他們負(fù)責(zé)的業(yè)務(wù)方面。ISO 27001的歷史

關(guān)于IT安全的指導(dǎo)是在1992年首次引入的，當(dāng)時貿(mào)易和工業(yè)部(DTI)發(fā)布了行為準(zhǔn)則或IT安全管理。

1995年，英國標(biāo)準(zhǔn)協(xié)會將其重新發(fā)布為BS7799。這是多年來修訂的，在2000年，它作為ISO快速跟蹤并成為ISO 17799。

2002年更新了這個，第二部分介紹了 - 信息安全管理規(guī)范BS7799-2，而不是實踐代碼。此更新于2005年進入ISO快速通道，并成為ISO27001。

它在2013年進行了大量更新，改進了ISO27001的工作方式。一個主要的變化是解決使用數(shù)據(jù)庫存儲信息而不僅僅是物理文檔的趨勢。

ISO 27001中的關(guān)鍵指南

盡管ISO 27001有許多要求，但主要關(guān)注點(以及為了使組織獲得認(rèn)證而進行審核的要求)是管理層必須不斷分析企業(yè)安全風(fēng)險，設(shè)計和實施一系列安全控制以及如何管理風(fēng)險并采用整體管理流程，確保業(yè)務(wù)永遠(yuǎn)不會風(fēng)險，并且不斷解決安全需求。具體而言，ISO 27001要求管理層：通過風(fēng)險評估檢查組織的安全漏洞設(shè)計并實施一整套安全控定義ISMS的范圍采用新流程確保新的安全控制措施滿足業(yè)務(wù)需求

如何獲得ISO 27001認(rèn)證獲得ISO 27001認(rèn)證是證明貴公司對數(shù)據(jù)安全的承諾的一種很好的方式，并表明您認(rèn)真對安全管理。當(dāng)面對兩個組織時，客戶通常會選擇經(jīng)過認(rèn)證的組織，而不是那個組織。ISO 27001認(rèn)證由第三方認(rèn)證機構(gòu)承擔(dān)，每個認(rèn)證過程的差異很大。

在審計開始之前，公司的管理層將決定完成后將進行認(rèn)證的業(yè)務(wù)部分。這可以是整個組織，也可以只是一個部門或部門，具體取決于管理層認(rèn)為合適的內(nèi)容。

未包含在此初始范圍內(nèi)的任何內(nèi)容都不會被認(rèn)證，因此，如果只有部分業(yè)務(wù)獲得認(rèn)證，則無法保證組織的其他部分遵守準(zhǔn)則。