如今,“信息”作为一种商业资产,越来越被人们所重视,它对组织的价值也是毋庸置疑的。根据国际标准化组织(ISO)提出的ISO27001概念,信息安全需要确保信息的“保密性”,“完整性”和“可用性”。 通俗地说,“信息”是为了保护信息免受各种威胁,从而确保组织或机构的可持续发展。那么到底什么是ISO27001?什么又是ISO27001认证?为什么要进行ISO27001认证?中培专家为您逐一分析。
一、什么是ISO27001
与ISO9001等其它标准类似,ISO27001也是一种国际标准。ISO27001主要关注企业和组织的信息安全,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准,并且适用于大、中、小组织。
ISO27001:2013是2013年10月19日由国际标准化组织(ISO)正式颁布实施。
ISO27001是建立信息安全管理体系(ISMS)的一套需求规范(Information Security. Security techniques. Information security management systems. Requirements),其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准,当然,如果要得到最终的认证(对依据ISO27001建立的ISMS进行认证),还有一系列相应的注册认证过程。
二、什么是ISO27001认证
所谓认证,即由认证机构依据特定的审核准则,按照规定的程序和方法对受审核方实施审核,以确定特定事项的符合性的活动。
针对ISO27001的受认可的认证,是对组织信息安全管理体系(ISMS)符合ISO27001要求的一种认证。这是一种通过权威的第三方审核之后提供的保证:受认证的组织实施了信息安全管理体系,并且符合ISO27001标准的要求。
通过ISO27001认证的组织,将会被注册登记,其注册信息可在中国合格评定国家认可委员会(CNAS)、中国国家认证认可监督管理委员会(CNCA)网站进行查询。
三、为什么要进行ISO27001认证
我们都知道,万事没有绝对,100%的安全是不现实也不可行的,对组织来说,符合ISO27001标准并且获得相应证书,其本身并不能证明组织达到了100%的安全,除非停止所有的组织活动。但不管怎么说,作为一个全球公认的最权威的信息安全管理标准,ISO27001能给组织带来的将是由里到外全面的价值提升,就像下面所列举的那样。
法律法规:ISO27001证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。从一定角度讲,ISO27001 标准是对适用法律法规的补充和注解,因为 ISO27001 标准本身的制订,是参照了业界最通行的实践措施的,而这些实践措施,在很多国家相关的信息保护法规中都有体现(例如美国的 SOX 法案、HIPAA、个人隐私法、计算机安全法、GLBA、政府信息安全修正法案等);另一方面,很多国家所推行的相关的行业指导性文件及要求,又可能是参照 ISO27001 而拟定的。因此,通过 ISO27001 认证,可以使组织更有效地履行国家法律和行业规范的要求。
外部期望:当合作伙伴、股东和客户看到组织为保护信息而付出的努力时,其对组织的信心将得到加强。同样的,证书的获得,有助于确定组织在同行业内的竞争优势,提升其市场地位。事实上,现在很多国际性的投标项目已经开始要求ISO27001符合性了。
管理层:证书的获得,本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。
员工:提升员工的安全意识,增强其责任感,减少人为原因造成的不必要的损失。
核心业务:全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架。
信息环境日常运作:有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。
财务状况:ISMS 的实施,本身也能降低因为潜在安全事件发生而给组织带来的损失,另外,也有可能减少保险金支出。
通过上述关于ISO27001的介绍,相信大家对于什么是ISO27001的信息已经非常清楚了吧,想了解更多关于ISO27001认证的信息,请继续关注。