0371-88131785
13592595029
13592595029
目前国家标准GB/T22080-2016《信息安全管理体系要求》等同采用ISO/IEC27001:2018,国家标准化组织于2013年10月19日正式发布了信息安全管理体系标准ISO27001:2013。新版iso27000:2018信息安全关键国际标准适时推出。新版本旨在适用于从跨国企业到中小企业的所有类型和规模的组织,它于2018年2月发布,对政府机构或非盈利组织具有同样的价值。
ISO/IEC 27001提供建立、实现、维护和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实现受组织的需要和目的、安全要求、组织所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并为相关方树立风险得到充分管理的信心。
ISO/IEC27000描述了信息安全管理体系的概要和词汇,引用了信息安全管理体系标准族(包括IS0/IEC27003、IS0/IEC 27004、ISO/IEC 27005),以及相关术语和定义。
ISO/IEC27001标准应用ISO/IEC合并导则附录SL中定义的高层结构、相同条款标题、相同文本、通用术语和核心定义,因此保持了与其他管理体系(如:质量管理体系IS09001,环境管理体系IS014001等)采用附录SL的管理体系的标准具有兼容性。
ISO/IEC27001标准分为十个章节,分别为:范围、规范性引用文件、术语定义、组织环境、领导作用、规划、支持、运行、绩效评价、改进。
第四章组织环境包括:理解组织及其环境;理解相关方的需求和期望;确定信息安全管理体系范围;信息安全管理体系。
第五章领导作用包括:领导和承诺;方针;组织的角色,责任和权限。
第六章规划包括:应对风险和机会的措施(总则、信息安全风险评估、信息安全风险处置);信息安全目的及其实现规划。
第七章支持包括:资源;能力;意识;沟通;文件化信息(总则、创建和更新、文件化信息的控制)。
第八章运行包括:运行规划和控制:信息安全风险评估;信息安全风险处置。
第九章绩效评价包括:监视、测量、分析和评价;内部审核;管理评审。
第十章改进包括:不符合及纠正措施;持续改进。
Copyright © 版权所有 河南信之杰企业管理咨询有限公司 备案号: 豫ICP备16036163号-1
网站技术支持:至简网络