1)ISO27001是有关信息安全管理的国际标准。源于英国标准BS7799,经过十年的不断改版,终于在2005年被国际标准化组织发布为正式的国际标准,并已广泛被世界范围内所接受,用于组织的信息安全管理体系的建立,保障组织的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的安全管理。
ISO27001的主要内容和认证过程:ISO27001主要由3部分组成。分别是:《信息安全管理实施细则》、《信息安全管理体系规范》、《信息安全风险管理指南》。ISO/IEC 17799信息技术.信息安全管理用实施规程是由国际标准化组织(ISO)颁布的一套全面和复杂的信息安全管理标准,旨在帮助各种类型和规模的组织实施并运行有效的信息安全管理体系,从而增强企业识别、防止、减少和控制组织信息安全风险的能力。ISO/IEC 17799标准是由两部分构成的。第一部分是信息安全管理体系的实施指南,相当于BS7799-1;第二部分是信息安全管理体系规范,相当于BS7799-2。
ISO27001:2005的新架构包括11个控制域、39个控制措施,133个控制点。(其中11个控制域为安全策略、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作安全、信息系统获得,开发和维护、访问控制、信息安全事件管理、业务连续性管理、合规性)。
2)推行ISO27001信息安全管理体系之益处
- 通过信息安全管理体系的建立和运行过程,消除各种信息安全隐患,保护关键的信息资产
- 增进组织间电子电子商务往来的信用度,能够建立起网站和贸易伙伴之间的互相信任
- 通过认证能保证和证明组织所有的部门对信息安全的承诺
- 提高全体员工的信息安全意识和能力
- 通过认证可改善全体的业绩、消除不信任感
- 获得国际认可的机构的认证证书,可得到国际上的承认,拓展您的业务
- 建立信息安全管理体系能降低这种风险,通过第三方的认证能增强投资者及其他利益相关方的投资信心
- 通过认证能够向政府及行业主管部门证明组织对相关法律法规的符合性
| 
