ISO/IEC27001:2005
 

ISO/IEC27001:2005

新標準正式標題為 「BS 7799-2:2005 (ISO/IEC 27001:2005) – 資訊安全管理系統要求」。這不表示此標準只是IT (資訊科技)標準,而是遠超過IT範圍。標題當中「資訊科技 – 安全技術」的部份,為ISO組織(JTC 1/SC27)負責公告名稱。此標準主要的重點是著重於整體組織的資訊安全管理。

相較於舊版BS 7799所包含的10大控制項目、36個控制目標及133個控制措施,主要改變是配合該標準已成為ISO國際標準,適合於組織藉此發展並實施全球管理資訊安全(如:財務資訊、通訊行業、保險業、智慧財產、員工資料等公司營運資訊),更可涵蓋客戶和公司的資訊,是唯一能協助組織真正獨立評估其資訊安全管理系統的國家標準。

ISO/IEC 27001:2005已成為一個國際標準,其意義除了國際認可並接受英國標準外,組織更可藉此發展並實施一項全球架構的制度來管理資訊的安全;其中包含不論是公司本身的營運資訊,例如財務資訊、智慧財產、員工資料等等,或者是客戶或第三方委託給公司的資訊。事實上,此標準是組織可以獲得真正獨立評估其資訊安全管理系統(ISMS)的唯一國際標準。

此國際標準有些許更新,係就原英國標準BS 7799-2:2002中的規定加以闡明並加強。更新的主要區域在風險評鑑、契約責任、範圍、管理決策,以及評量其所選擇控制措施之有效性。此標準對客戶的最大影響是在於要求其對所選擇之控制措施之有效性作評量。

ISO/IEC 27001要求及控制措施

No.: 控制項目 :
4 資訊安全管理體系
5 管理職責
6 ISMS 內部審核
7 ISMS 管理評審
8 ISMS 改進
A.5 安全方針
A.6 資訊安全組織
A.7 資產管理
A.8 人力資源安全
A.9 現場與環境安全
A.10 通訊及操作管理
A.11 存取控制
A.12 資訊系統的獲取、開發和維護
A.13 資訊安全事故管理
A.14 業務持續性管理
A.15 符合性
点击这里给我发消息
Call me!
© BPI Consultants International Limited 2011. All Rights Reserved. Site Designed by SENS Communications.