知識是組織在確保業務連續性方面最重要的價值之一。 如果許多資產丟失,丟失的信息就沒有貨幣等價物。 因此,在當今變化和發展的條件下,信息的重要性和保護的必要性正在逐步增加。 信息; 它可以以書面形式,電子媒體,口頭,員工記憶和許多其他格式使用和存儲。 由於技術的進步,許多這些使用形式可能會或可能不會隨著時間而改變。 由於這種變化和發展,信息的安全性需要不斷受到質疑和控制。 信息安全是對信息的機密性,完整性和可用性的保護。
ISO 27001信息安全管理系統是一個管理系統,包括提供公司信息安全的人員,流程和信息系統,並由高級管理層提供支持。 它旨在保護信息資產,並提供充分和相稱的安全控制,為相關方提供信心。 ISO 27001信息安全管理系統包括公司結構,政策,計劃活動,職責,應用程序,程序,流程和資源.ISO 27001和ISO 27002信息安全管理系統標準的基礎是基於BS 7799標準。 BS 7799 BSI(英國標準協會)在1995上發表,由兩部分組成。 第一部分,BS 7799-1,包括信息安全管理的最佳實踐。 在2000中,該標準被ISO採用並作為ISO 17799信息技術 - 信息安全管理應用原則出版。 ISO 17799 2007作為ISO 27000納入ISO 27002系列。 第二部分由BSI在7799中以BS 2 1999信息安全管理系統要求的名稱發布。 該標準著重於如何建立ISMS。 在2005中,它由ISO以ISO 27001信息安全管理系統要求的名稱發布。 品質政策 ISO 27001 最新版本的27002標準發佈在25.09.2013上。
ISO / IEC 27001:2013定義了組織範圍內信息安全管理系統的安裝,實施,執行和持續改進的要求。 它還包括評估和改進與組織需求相關的信息安全風險的要求。 ISO / IEC 27001:2013中給出的要求是通用的,旨在適用於所有組織,無論組織的類型,規模和性質如何。 ISO 27001要求組織準備風險管理和風險處理計劃,任務和責任,業務連續性計劃,緊急事件管理程序並在實踐中記錄它們。 管理局應頒布包括所有這些活動的信息安全政策,並提高其人員對信息安全和威脅的認識。 信息安全管理只有在管理層的積極支持和人員的參與下才能實現,作為一個生活過程,其中測量選定的控制目標並持續監控控制的合規性和性能。
