ISO27001信息安全认证的好处
ISO27001认证对企业的好处:
(1)预防信息安全事故,保证组织业务的连续性,使组织的重要信息资产受到与其价值相符的保护,包含防范:
重要的商业秘密信息的泄漏、丢失、篡改和不可用;
重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断;
(2)节省费用。1个好的ISMS不仅可通过避免安全事故而使组织节省费用,并且也能协助组织合理筹划信息安全费用支出,包含:
依据信息资产的风险级别,安排安全控制措施的投资优先级;
对于可接受的信息资产的风险,不投资或减少投资;
(3)保持组织良好的竞争力和成功运作的状态,提高在公众中的形象和声誉,最大限度的增加投资回报和商业机会;
(4) 增强顾客、合作伙伴等相关方的信任和信心。
(5) 降低法律风险;
(6) 强化员工的信息安全意识、规范组织的信息安全行为。
ISO/IEC27001是唯一1个规定了信息安全管理体系(ISMS)要求的可审核国际标准。该标准旨在确保选择充分而合适的安全控制措施。这有助于保护您的信息资产,并使任何利益相关方(尤其是顾客)增加信心。该标准采用“过程方法”以建立、实施、运行、监控、审查、维护和改进您的ISMS。任何组织,不论其规模大小,所属行业或地理位置怎样,均可使用ISO/IEC27001。该标准尤其适合信息保护占重要地位的行业,例如金融、健康、公共及IT行业。ISO/IEC27001对于代表他方管理信息的组织(例如IT外包公司)也十分有效:它可用于使顾客确信其信息处于受保护状态。
ISO/IEC27001由国际标准化组织(ISO)制定发布,可用于认证目的。标准基于过程方法并采用PDCA的模式,在所有信息安全管理过程中得到应用
ISO/IEC27001适用于所有类型的组织(例:商业公司,政府机构。非赢利组织)。ISO/IEC27001从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织以及下属部门的必须而定制的安全控制措施的实施要求。ISO/IEC27001要求确保充分适宜的安全控制措施来保护信息资产及建立相关方的信心信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,BS7799标准是由英国标准协会制定的,国际公认针对信息安全管理的一套国际标准。它分为两个部分,BS7799-1和BS7799-2,前者是实施细则,被颁布为国际标准ISO/IEC17799:2005《信息技术-信息安全管理实施细则》;后者是认证标准,被颁布为ISO/IEC27001:2005《信息科技-安全技术-信息安全管理体系规范》,BS7799已经发展成为一套以风险管理为基础的信息安全管理体系。
2000年,国际标准化组织(ISO)在BS7799-1的基础上制定通过了ISO17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO17799再次修订,BS7799-2也于2005年被采用为ISO27001:2005,更加注重标准的通用性和实用性。实施证明:ISO/IEC17799关于信息安全策略,资产管理,薄弱点、故障、事故的管理,业务连续性管理方面都为组织提供了很好的实践指南。ISO/IEC17799和ISO/IEC27001提倡了一套先进的信息安全管理理念,以“体系文件规范实施要点”的方式,引导组织实施有效的信息安全管理。实施信息安全管理体系的组织在树立了风险管理的理念后,不论在组织的IT治理还是信息系统安全性上都有显著的提升。
ISO27001是国际上最流行的信息安全管理系统(ISMS)认证标准,在全球范围内ISO27001认证正飞速发展。参加认证的组织也越来越多,目前,全球已经有4千多家企业通过了该认证,国内也有超过一百多家家企业通过该认证。