ISO27001信息安全管理体系,第1部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。该标准能帮助众多企业构建信息安全体系,实现信息安全的防范。(1)通过定义、评估和控制风险,确保经营的持续性和能力。(2)减少由于合同违规行为以及直接触犯法律法规要求所造成的责任。(3)通过遵守提高企业竞争能力,提升企业形象,维护企业的声誉、品牌和客户信任,保持业务持续发展和竞争优势。(4)实现风险管理,履行信息安全管理责任,明确定义所有组织的内部和外部的信息接口目标。
信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799-1,信息安全管理实施规则、BS7799-2,信息安全管理体系规范。第1部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。信息安全管理体系标准(ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准。
ISO27001是有关信息安全管理的。初源于英国标准BS7799,经过十年的不断改版,终于在2005年被化组织(ISO)转化为正式的,于2005年10月15日发布为ISO/IEC2005。该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的安全管理。对现代企业来说,将以往被认为是成本中心的IT部门转变成积极的增值服务提供者,是一种挑战,也是机遇,ISO20000是面向机构的IT服务管理标准,目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。
评审信息安全方针,确保对信息安全措施的选择有一个明确的指导方向并且得到高层管理者的实际支持,同时负责协调信息安全控制措施的实施情况,对重大变更进行决策,审查信息安全事故。具体职责如下:
ü 学习国家相关保密法规制度及信息安全管理体系相关标准。
ü 提出处理与信息安全事件相关领域S业性的建议、意见和方案
ü 决定建立信息安全管理体系
ü 制定信息安全管理工作的方针、政策
ü 对信息安全事件的响应做出判断
ü 负责对公司业务进行监督管理。
ü 学习国家相关保密法规制度,落实各项保密措施
ü 负责对公司涉密工作相关重大问题的讨论、决策
ü 负责确认、授权和审批涉密资料使用人因工作需要借阅、复制涉密文件、资料时,并履行相应的手续。
ü 确保涉密人员经过相应保密知识培训。
ü 定期检查公司信息安全业务执行情况,进行监督管理
ü 每季度至少检查一次公司信息安全管理制度执行情况,记录监控检查结果,并定期报送总经理
ü 记录信息安全事件并及时履行告知义务
ü 对信息安全事件进行及时响应并记录处理过程
ü 对员工进行安全知识、安全操作技能和安全意识的培训。
