ISO27001的介紹

ISO27001即信息安全管理體系，它以其嚴格的審查標準和權威的認證體系，成為全球應用最廣泛與典型的信息安全管理標準，主要是針對信息安全中的系統漏洞、黑客入侵、病毒感染等內容進行保護。ISO27001標準已得到了很多國家的認可，是國際上具有代表性的信息安全管理體系標準。

ISO27001的作用

國際標準化組織/IEC17799-2000包含127項安全控制措施，幫助組織識別運營期間影響信息安全的因素。組織可以根據適用的法律、法規和公司章程選擇和使用它們，或者添加其他附加控制。國際標準化組織（標準化組織）于2005年修訂了ISO 17799。修訂后的標準是ISO27000標準系列的第1部分———國際標準化組織/IEC 27001。信息安全管理體系通過定義、評估和控制風險，確保運營的連續性和能力。信息安全管理體系減少因違反合同和直接違反法律法規而導致的責任。此外，信息安全管理體系遵循國際標準，能夠提高企業競爭力和形象。

ISO27001涉及的領域

1.信息安全方針和策略：依據業務要求和相關法律法規為信息安全提供管理指導和支持。

2.信息安全組織：建立一個管理框架，開展公司的信息安全工作。

3.人力資源安全：確保員工和外包方理解其職責，并履行信息安全職責，在任用終止時保護公司的利益。

4.資產管理：識別公司資產（主要指信息資產），將信息資產按照重要程度確定適當的防護級別。確保存儲在介質中的信息資產不會泄露或破壞。

5.訪問控制：限制對數據信息和數據處理設施（如服務器）的訪問，保證授權用戶對系統和服務的訪問，并阻止未授權的訪問。

6.密碼：有效地使用密碼技術以保護數據信息的保密性、真實性、完整性。

7.物理和環境安全：阻止對數據信息和信息處理設施的未授權物理訪問、損壞和干擾。防止資產的丟失、損壞、失竊或危及資產安全、業務連續性。