信息安全管理体系 - infocloud.pdf

信息安全管理体系 ISO/IEC 27000 标准系列概论 什么是 ISO/IEC 27001 ？ 机构是否遵行 ISO/IEC 27001 标准所定的 ISO/IEC 27001 标准 的名称为 《信息技术 要求 ，可由认可认证机构进行正式评估和认 — 安全技术 — 信息安全管理体系 — 证 。若 机 构 的 信 息 安 全 管 理 体 系 获 取 要求》，由国际标准化组织（ISO ）及国际 ISO/IEC 27001 标准的认证，显示机构致力 电 工 委 员 会 （ IEC ） 出 版 。 ISO/IEC 保护信息安全 ，又可增加客户、合伙人及持 27001:2013 （下称 ISO/IEC 27001 ）为最 份者的信心。 新版本的 ISO/IEC 27001 标准，修订了 2005 年出版的上一个版本（即 ISO/IEC ISO/IEC 27001 认证要求 27001:2005 ）。本标准订明有关建立、推行 、 为符合 ISO/IEC 27001 认证要求，机构的 维护和持续改进信息安全管理体系的各项 信息安全管理体系必须由国际认可的认证 要求。信息安全管理体系阐述保护敏感信息 机构进行审计。ISO/IEC 27001 第 4 节至 安全的系统化方式 ，通过应用风险管理流程 10 节所载的要求（见附录 A ）是强制性要 管理人事、工序及信息技术系统。这套系统 求 ，并没有豁免情况 。若机构的信息安全管 不仅适用于大型机构，中小型企业也会合 理体系通过正式审计，便会获认证机构颁发 用 。 ISO/IEC 27001 证书。证书 的有效期为三 年，期满后 ，机构需要重新为其信息安全管 ISO/IEC 27001 可以与相关支援控制措施 理体系进行认证。 配 合 使 用 ， 例 如 载 列 于 ISO/IEC 27002:2013 （下称 ISO/IEC 27002 ）文件 在三年有效期内 ，机构必须执行证书维护， 的控制措施。ISO/IEC 27002 分为 14 节及 以确保信息安全管理体系持续遵行有关要 35 个控制目标，详述 114 项安全控制措施。 求 ，按规定运行和不断改进 。为了保持证书 有关 ISO/IEC 27001 及 ISO/IEC 27002 的 有效，认证机构会每年至少一次就信息安全 目录载于附录 A 。 管理体系进行实地视察 ，以进行监察审计。 在审计过程中，认证机构只会对部分信息安 全管理体系作出审计。当三年有效期临近届 满时，认证机构才会对整个信息安全管理体 系作出审计 。 政府资讯科技总监办公室出版(二零一七年六月) 1 信息安全管理体系 ISO/IEC 27000 标准系列概论 ISO/IEC 27001 认证的效益 认证机构 机构获取 ISO/IEC 27001 认证后，在内部 ISO/IEC 27001 认证过程涉及 由认证机构 安全及对外竞争力方面 ，均会受惠。 给予的认可