ISO / IEC 27000:2018概述了信息安全管理系统(ISMS)以及信息安全管理系统ISO / IEC 27001标准系列中常用的术语和定义。
2月2018的新版本适用于所有类型的组织,从跨国企业到中小型企业,对政府机构或非营利组织同样有价值。
27000系列有十几个标准。 新发布的ISO / IEC 27000提供了对标准如何组合的理解:它们的范围,角色,功能及其相互关系。
ISO / IEC 27001社区将发现该标准非常有用,因为它结合了ISO / IEC 27000系列中其他标准使用的所有基本术语。
保持对当今商业环境的了解,技术和通信以惊人的速度发展,变得更加重要。 信息对于组织继续其活动非常重要。 识别信息资产的安全风险和威胁以及检查系统中的开放点是一项严峻的挑战。 建立信息安全并确保控制的连续性将取决于建立安全原则和正确确定管理过程。
在今天的商业世界 信息安全 它被认为是一种严重的风险,有必要定义和实现一致的信息安全控制,同时也要将风险提高到可接受的水平,以便在组织中建立某些标准。
ISO / IEC 27001是唯一定义信息安全管理系统(ISMS)要求的国际可审计标准。 它旨在允许选择适当和相称的安全审核。
国际标准组织 ISO / IEC 27001信息安全管理系统是一套有助于保护和管理有价值信息资产的标准。 它是唯一定义信息安全必要标准的国际体系。 该系统旨在确保选择适当的比例安全控制。
在国际标准化组织(ISO)中,标准准备工作通常由技术委员会进行。 ISO 27000标准也由国际标准组织和国际电工委员会建立的联合技术委员会制定。
国际技术委员会 (IEC - 国际电工委员会)成立于1906,正在为电子和类似技术制定国际标准。 土耳其标准协会(TSE)是该委员会的成员。 IEC的主要目标是提高全球产品和服务的质量,促进人类健康和安全,并支持保护环境。 ISO正致力于国际电工委员会范围之外的问题。
ISO 27001信息安全管理系统 已建立的公司,分析信息基础设施并分析这些资产可能发生的攻击和危险,并决定在发生这些危险时该怎么做。 这是大型组织集成管理系统中最重要的系统,尤其是那些试图获得企业标识的组织。
ISO 27001信息安全管理系统将为组织在识别保护信息的风险和确定消除或最小化这些风险的措施方面提供巨大的优势。
实现该系统没有扇区限制。 如果组织认为需要保护信息,则可以建立信息安全管理系统。 但是,信息技术部门的信息保护更为重要,特别是在银行和金融机构,卫生机构,公共机构中。
ISO 27000标准实际上由许多标准组成。 以下是其中一些标准:
- ISO 27001信息安全管理系统 标准: 这是信息安全管理系统的基本标准。
- ISO 27002信息安全管理体系实施规范代码
- ISO 27003安全管理系统定制指南
- ISO 27004标度,报告标准
- ISO 27005信息安全管理体系风险管理标准
- ISO 27006信息安全审计和认证标准
今天,信息安全管理是一个应该作为一个整体进行管理的系统,以便包括组织中的所有人力资源,尤其是最高管理层,信息系统和业务流程。
我们说ISO 27001信息安全管理系统标准是该系统的主要标准。 组织中信息安全管理系统的建立和认证是按照该标准进行的。
该标准的主要目标是:
- 识别组织可能存在的信息安全漏洞,揭示对信息资产的威胁并系统地控制这些威胁。
- 确定控制措施,确保信息资产的安全性,确保执行这些控制,并将风险保持在可接受的水平。
- 确保以这种方式执行的信息安全控制的连续性,并为此目的确定和实施管理过程。
ISO 27001信息安全管理体系标准由国际标准组织在2005上发布。 全名是ISO / IEC 27001:2005信息技术安全技术信息安全管理系统术语。 它通常被称为ISO 27001标准。
ISO 27001标准涵盖了建立此系统的组织的组织结构,策略,计划活动,职责,活动,应用程序说明,业务流程和资源。