信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分:BS7799-1,信息安全管理实施规则 和 BS7799-2,信息安全管理体系规范。
1、维护企业的声誉、品牌和客户信任:证书的获得可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失;
2、增强员工的意识、责任感和相关技能:可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失;
3、保持业务持续发展和竞争优势:全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力;
4、实现风险管理:有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作;
5、减少损失,降低成本:降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到最低程度。
ISO/IEC 27001与ISO 9001(质量管理体系)和ISO 14001(环境管理体系)标准紧密相连。这三个标准中众多的体系元素和原则是互通的,比如采用PDCA(计划、执行、检查、改进)的循环流程。在ISO27001附录C中列举了三个管理体系之间的对应关系,该对应关系使得体系之间的整合与集成扩展成为可能。
企业依据ISO27001标准建立信息安全管理体系,并通过认证机构的认证,取得ISO27001证书;只要按期接受认证机构的监督审核、再认证并通过,即刻维持ISO27001证书的有效性。
所谓ISO27001认证,即由具备资质的认证机构依据ISO27001审核准则,按照规定的程序和方法对受审核方实施审核,以确定特定事项的符合性的活动。依据ISO27001标准建立的信息安全管理体系,接受认证机构的认证,是确保组织建立的信息安全管理体系(ISMS)符合ISO27001标准要求的一种方式。这是一种通过权威的第三方审核之后提供的保证:受认证的组织实施了信息安全管理体系(ISMS),并且符合ISO27001标准的要求。通过ISMS认证的组织,将会被注册登记,并且获证组织的相关信息可在国家认证认可监督管理委员会(CNCA)、中国合格评定国家认可委员会(CNAS)网站进行查询,查询信息包含证书的覆盖范围及有效期。