�������在日趨網絡化的世界里,「信息」對建立競爭優勢起著舉足輕重的作用。但它同時也是柄雙刃劍,當信息被意外或刻意的傳給惡意的接收者時,同樣的信息也可能導致一所機構倒閉。在當今的信息時代,科技無疑為我們解決了不少問題。
國際標準組織(ISO)應此類需求,制定了ISO27001:2005標準,為如何建立、推行、維持及改善信息安全管理系統提供幫助。信息安全管理系統(ISMS)������是高層管理人員用以監察及控制信息安全、減少商業風險和確保保安系統持續符合企業、客戶及法律要求的一個體系。ISO/IEC 27001:2005 ������能協助機構保護zhuanli信息,同時也為制定統一的機構保安標準搭建了一個平臺,更有助于提升安全管理的實務表現和增強機構間商業往來的信心與信任。
什么機構可采用 ISO/IEC 27001:2005 標準?
任何使用內部或外部電腦系統、擁有機密資料及/或依靠信息系統進行商業活動地機構,均可采用 ISO/IEC 27001:2005標準。簡單的說,也就是那些需要處理信息、并認識到信息保護重要性的機構。
ISO/IEC 27001 的控制目標及措施
ISO/IEC 27001制定的宗旨是確保機構信息的機密性、完整性及可用性,為達成上述宗旨,該標準共提出了39個控制目標及134項控制措施,推行ISO/IEC 27001標準的機構可在其中選擇適用于其業務的控制措施,同時也可增加其他的控制措施。而與ISO/IEC 27001相輔的 ISO 17799:2005 標準是信息安全管理的實務守則,為如何推行控制措施提供指引。
ISO/ IEC 27001:2005 的架構
ISO/ IEC 27001:2005 標準在 2005 年 10 月公布,同時取締了多國采納的英國標準BS 7799-2:2002 ,但新舊標準的要求并無太大分別。ISO / IEC 27001:2005 標準以 Edward Deming 博士提出的“計劃-實施-核查-采取行動”循環周期作為制定藍圖,以實現持續改善的目標。
I. 計劃
計劃較重要的部分是設定涵蓋的范疇及區域,它可以是:
覆蓋整個組織并涉及多個地點的辦事處及/或廠房
只涉及一個辦事處或廠房
只涉及一個多元化服務供應商的其中一個業務
計劃的主要工作包括信息安全管理系統、風險評估、風險管理、風險處理措施和適用性報告。
