|
随着网络逐步的进入社会。越来越多的接解到网络。网络的普及给人们的生活带来了极大的便利;但网络同时作一柄双刃剑,给社会用个人也带来了相当的威胁。当信息被意外或刻意的传给恶意的接收者时,对个人或单位都会带来极大的伤害。有的企业会因为信息的外泄而倒闭。在当今的信息时代,科技无疑为我们解决了很多问题。 国际标准组织(ISO)应此类需求,制定了ISO27001:2005标准,为如何建立、推行、维持及改善信息安全管理系统提供帮助。信息安全管理系统(ISMS)是高层管理人员用以监察及控制信息安全、减少商业风险和确保保安系统持续符合企业、客户及法律要求的一个体系。ISO/IEC 27001:2005能协助机构保护专利信息,同时也为制定统一的机构保安标准搭建了一个平台,更有助于提升安全管理的实务表现和增强机构间商业往来的信心与信任。 什么机构可采用ISO/IEC 27001:2005标准? 任何使用内部或外部电脑系统、拥有机密资料及/或依靠信息系统进行商业活动地机构,均可采用ISO/IEC 27001:2005标准。简单的说,也就是那些需要处理信息、并认识到信息保护重要性的机构。 ISO/IEC 27001的控制目标及措施 ISO/IEC 27001制定的宗旨是确保机构信息的机密性、完整性及可用性,为达成上述宗旨,该标准共提出了39个控制目标及134项控制措施,推行ISO/IEC 27001标准的机构可在其中选择适用于其业务的控制措施,同时也可增加其他的控制措施。而与ISO/IEC 27001相辅的ISO 17799:2005标准是信息安全管理的实务守则,为如何推行控制措施提供指引。 ISO/ IEC 27001:2005的架构 ISO/ IEC 27001:2005标准在2005年10月公布,同时取缔了多国采纳的英国标准BS 7799-2:2002,但新旧标准的要求并无太大分别。ISO / IEC 27001:2005标准以Edward Deming博士提出的“计划-实施-核查-采取行动”循环周期作为制定蓝图,以实现持续改善的目标。 I.计划 计划最重要的部分是设定涵盖的范畴及区域,它可以是: 覆盖整个组织并涉及多个地点的办事处及/或厂房
|
