国际标准化组织(ISO)和国际电工委员会(IEC)共同发布了一套结合了基于程序的管理体系标准方法的国际标准,以便于公司使用去保护信息安全免受各种威胁。ISO/IEC 27001:2005,信息技术-安全技术-信息安全管理系统-要求,目的是防止信息安全漏洞预防威胁进而保证商业的连贯性,使商业损害减到最小和最大化投资回收和商业机会。
“ISO/IEC 27001:2005的出版在信息安全社会是一件大事,并且大家都在热切地等待着它的出版。”负责管理标准的发展的工作组召集人Ted Humphreys说道。“这是一个所有安全意识组织都应该许诺执行的标准。”
所有规模的商业和很大范围内的商务和工业部门都可以执行这一标准。这一标准为商业的建立,贯彻,回顾和监控,管理和保持一个有效的信息安全管理系统(ISMS)详细说明了一个一般框架。标准开发商声明:ISO/IEC27001的执行将向顾客和供应商们保证在处理信息安全的组织中信息安全被认真地对待。这是因为他们有到位的技术发展水平去处理信息安全威胁和问题。
新的标准与最近修改过的ISO/IEC17799:2005,信息技术-安全技术-信息安全管理的密码应用,构成了一个互补对。ISO/IEC 17799:2005描述并列举了由ISO/IEC 27001描述的作为部分安全管理系统应用的个体安全控制。新版本的ISO/IEC 17799在其自身更宽的方面陈述了信息的安全。它提供了最佳商业实践,指导方针和在任何组织中执行,保持和管理信息安全的普遍原则以及在任何形式下生产和使用信息。
自愿寻找各自信息安全管理系统证明的组织可以利用ISO/IEC 27001:2005。
|