什么是ISO 27001?它与IT管理系统的关系

 
我们将解释ISO 27001是什么以及它与IT管理系统的关系
ISO 27001是IT系统的国际标准，提供保护公司IT资产安全的政策和程序。它构成了更广泛的ISO 27000 IT标准系列的一部分，所有这些标准都涉及信息安全管理系统，但具体涉及将业务的安全流程统一到一个管理平台中。
该框架主要旨在通过帮助识别可能对数据构成风险的任何问题以及创建流程和程序以防止将来发生类似情况来控制公司的风险管理策略。
ISO 27001包含了帮助企业分析其流程所需的所有系统，指南和认证。在实施之前，公司被迫依靠一些单独的服务来处理数据风险，从而导致大量低效率。
例如，企业的某些部分可能已被确定为高风险，并且已经制定了适当的流程和政策来帮助缓解这种情况。但是，公司的其他部分可能会被忽视。
20世纪90年代ISO 27001的发展允许将流程纳入单一标准，从而在单一管理系统内管理业务组件。然后整个组织的管理人员可以看到这一点，而不是每个人都负责一个部分。
该标准自发展以来也获得了重大更新，最明显的是在2013年。最初仅基于五个“条款”，作为标准的目标，更新增加到10。
1.标准范围
2.如何引用文档
3.重复使用ISO / IEC 27000中的术语和定义
4.组织背景和利益相关者
5.信息安全领导和对政策的高层支持
6.规划信息安全管理系统;风险评估;风险处理
7.支持信息安全管理系统
8.使信息安全管理系统运作
9.检查系统的性能
10.纠正措施
ISO 27001的历史
关于IT安全的指导是在1992年首次引入的，当时贸易和工业部(DTI)发布了行为准则或IT安全管理。
1995年，英国标准协会将其重新发布为BS7799。这是多年来修订的，在2000年，它作为ISO快速跟踪并成为ISO 17799。
2002年更新了这个，第二部分介绍了 – 信息安全管理规范BS7799-2，而不是实践代码。此更新于2005年进入ISO快速通道，并成为ISO27001。
它在2013年进行了大量更新，改进了ISO27001的工作方式。一个重大变化是解决使用数据库存储信息而不仅仅是物理文档的趋势。
ISO 27001中的关键指南
尽管ISO 27001有许多要求，但主要关注点(以及为了使组织获得认证而进行审核的要求)是管理层必须不断分析企业安全风险，设计和实施一系列安全控制以及如何管理风险并采用整体管理流程，确保业务永远不会风险，并且不断解决安全需求。具体而言，ISO 27001要求管理层：
通过风险评估检查组织的安全漏洞
设计并实施一整套安全控制
定义ISMS的范围
采用新流程确保新的安全控制措施满足业务需求
如何获得ISO 27001认证
获得ISO 27001认证是证明贵公司对数据安全的承诺的一种很好的方式，并表明您认真对待安全管理。当面对两个组织时，客户通常会挑选一个经过认证的组织。
ISO 27001认证由第三方认证机构承担，每个分析的过程差别很大。
在审计开始之前，公司的管理层将决定完成后将进行认证的业务部分。这可以是整个组织，也可以只是一个部门或部门，具体取决于管理层认为合适的内容。
未包含在此初始范围内的任何内容都不会被认证，因此，如果只有部分业务获得认证，则无法保证组织的其他成员遵守准则。