ISO 标准——IEC 27001:2005信息安全管理体系
——要求
0.1 总则
本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进ISMS(ISMS)的模型。采用ISMS 应是一个组织的战略决定。
组织ISMS 的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。上述因素和他们的支持系统应随时间变化而变化。希望根据组织的需要去
扩充ISMS 的实施,如,简单的环境是用简单的ISMS 解决方案。本国际标准可以用于内部、外部评估其符合性。
0.2 过程方法
本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS 的有效性。一个组织必须识别和管理许多活动使其有效地运行。通过利用资源和管理,将输入转换为输出的活动,可以被认为是一个过程。通常,一个过程的输出直接形成了下一个过程的输入。组织内过程体系的应用,连同这些过程的识
别和相互作用及管理,可以称之这“过程的方法”。
在本国际标准中,信息安全管理的过程方法鼓励用户强调以下方面的重要性:
a) 了解组织信息安全需求和建立信息安全策略和目标的需求;
b) 在组织的整体业务风险框架下,通过实施及运作控制措施管理组织的信息安全风险;
c) 监控和评审ISMS 的执行和有效性;
d) 基于客观测量的持续改进。
本国际标准采用了“计划-实施-检查-改进”(PDCA)模型去构架全部ISMS 流程。
更多内容下载:
ISO/IEC 27001:2005信息安全标准中文版全文下载
ISO27000系列共包括10个标准,当前已经发布和在研究的有6个,分别为:
1、ISO/IEC 27000《信息安全管理体系 基础和词汇》;
2、ISO/IEC 27001:2005《信息安全管理体系 要求》;
3、ISO/IEC
17799:2005《信息安全管理实用规则》(2007年4月后,编号将改为27002);
4、ISO/IEC 27003《信息安全管理体系实施指南》;
5、ISO/IEC 27004《信息安全管理测量》;
6、ISO/IEC 27005《信息安全风险管理》。