ISO27001是有關信息安全管理的國際標準。最初源于英國標準BS7799,經過十年的不斷改版,終于在2005年被國際標準化組織(ISO)轉化為正式的國際標準,于2005年10月15日發布為ISO/IEC27001:2005。
該標準可用于組織的信息安全管理體系的建立和實施,保障組織的信息安全,采用PDCA過程方法,基于風險評估的風險管理理念,全面系統地持續改進組織的安全管理。其正式名稱為:《ISO/IEC27001:2005信息技術安全技術信息安全管理體系要求》。現行有效版本:GB/T22080-2016/ISO/IEC27001:2013《信息技術安全技術信息安全管理體系要求》。
ISO27001信息安全管理體系以其嚴格的審查標準和權威的認證體系,成為全球應用最廣泛與典型的信息安全管理標準,主要是針對信息安全中的系統漏洞、黑客入侵、病毒感染等內容進行保護。
ISO27001認證適應企業如下:
ISO27001信息安全管理體系認證對每個企業或組織來說都是需要的,所以信息安全管理體系認證具有普遍的適用性,不受地域、產業類別和公司規模限制。
01.以信息為生命線的行業
金融行業(銀行,保險,證券,基金,期貨等)
通信行業(電信,網通,移動,聯通等)
其他公司(外貨,進出口,HR,獵頭,會計事務所等)
02.對信息技術依賴度高的行業
鋼鐵,半導體,物流
電力,能源
外包(ITO或BPO):IT,軟件,電信IDC,呼叫中心,數據錄入,數據處理加工等
03.工藝技術要求高、競爭對手渴望得到的
醫藥,精細化工,
研究機構
引入信息安全管理體系就可以協調各個方面信息管理,從而使管理更為有效。
通過ISO27001認證的企業,能有效保證企業在信息安全領域的可靠性,降低企業泄密風險,更好的保存核心數據。但是有一點需要注意,一個組織如果沒有事先擁有并使用任何形式的管理體系,并不意味著該組織不能進行ISO27001認證。這種情況下,該組織就應當從經濟利益考慮,選擇一個合適的管理體系的認證機構來提供認證服務。認證機構必須得到國家機構的委托授權,才能為認證組織提供認證服務,并發放認證證書。