深圳市亿博检测有限公司致力于淘宝质检、招投标质检、天猫质检、京东质检报告等服务。
ISO27001认证标准是什么?_3C认证|CE认证|FAD认证|CPC认证|FCC认证费用|质量检测报告-易博测检测中心

ISO27001认证标准是什么?

本文主要是介绍ISO27001认证标准是什么,27001体系认证收费标准,iso27001认证是什么意思的内容...

138-2432-8299 立即咨询
扫码咨询

快速申请办理

称       呼 :
手机号码 :
备       注:

ISO27001认证标准是什么?

发布时间:2020-07-22 热度:

  ISO27001认证标准:
 
  世界广泛采用的关于信息安全管理体系的英国标准——BS 7799-2:2002,经修订后,于2005年10月15日作为国际标准ISO/IEC27001:2005发布。
 
  本文旨在向组织指出标准的变化及在实际应用中的意义,协助组织做好向新标准过渡的准备。
 
  新标准的正式标题是:《BS 7799-2:2005(ISO/IEC 27001:2005)信息技术-安全技术-信息安全管理体系-要求》这意味着它不仅仅是IT标准,标题中的“信息技术-安全技术”表明它还是以ISO委员会(JTC1/SC27)的名义发表的。该标准的焦点还是放在贯穿组织的信息安全管理上。尽管大部分控制在实际中会在IT部门或IT组织内部实现,但总体上标准执行的重点仍应放在业务信息的风险上。
 
  标准的主要改变在于它现在是国际公认的,这意味着除了英国标准的国际认可,组织可以构建一个全球性的框架来管理他们的信息安全。不管是为了组织自身的商业信息,如财政信息,知识产权,职员资料等等,或者是客户或第三方与组织间沟通的信息,标准都是适用的。实际上,它是组织能够对他们的信息安全管理系统进行客观独立评估的唯一国际标准。
 
  新版的国际标准已经有一系列更新来阐明巩固原始英国标准——BS 7799-2:2002的要求。这些更新主要集中在以下范围:风险评估、合同责任、范围、管理决策以及所选控制措施有效性的测量等。对于采用BS7799-2:2002的组织来说,新版的国际标准并没有太大的影响。最大的影响就是要求对所选的控制措施或控制措施组合的有效性进行测量。(详见ISO/IEC 27001:2005的4.2.2 d)
 
ISO27001认证
 
  下面是该标准重大改变的解释概要。附录A是一个显示BS 7799-2:2002和ISO/IEC 27001:2005之间的变化的表格。《ISO/IEC 27001:2005》。
 
  范围和界线
 
  在执行信息安全管理体系的时候,组织所要做的第一件事就是定义ISMS的范围。现在国际标准要求组织定义ISMS的范围和界线[4.2.1 a],包括被排除在范围外的详细说明及理由。尽管富有经验的BSI审核员在评估过程中也会寻找这些东西,但是现在把这个要求加到标准中了,如果组织打算超越根据2002版标准取得的认证而达到新标准的要求,就必须把这个要求考虑在内。
 
  评估风险
 
  该国际标准的基础是:信息的保护是基于业务信息的风险,该风险能促使组织运用合适的措施来保护业务的安全。很少有业务信息会暴露在多种风险之下,因此太多的安全措施可能使公司花费过多的成本。
 
  标准的一个重大改变是组织现在需要详细说明(并文件化)风险评估的步骤[4.2.1 c],这也意味着挑选并文件化风险评估方法将会使风险评估“产生可比较、可重复的结果”[4.2.1 c和4.3.1 d]。目前已通过BS 7799-2:2002认证的组织不会把这点看成一个比较大的变化,因为在评估过程中已经考虑过它了。打算通过BS 7799-2:2002认证的组织可能会把它看成该国际标准的新要求。
 
  风险评估按照计划的时间间隔[4.2.3 d]进行复查,对风险评估和风险处理计划[7.3 b]的更新进行复查管理已经是标准的要求。这个要求必须作为组织信息安全管理体系的管理复查的一部分[7.1],至少一年完成一次。
 
  在对BS 7799-2:2002版标准进行审核的过程中,审核员应该根据ISMS的方针和目标[4.3.1],寻找所选择的控制措施与风险评估结果和风险处理程序之间的关系。尽管BS 7799-2:2002标准提到过这点,但现在已经在国际标准中阐明了。想获得BS 7799-2:2002认证的组织可以把它看作国际标准的新要求。
 
  合同责任
 
  除了法律法规的要求,该国际标准还特别强调在所有ISMS所有过程中的合同责任,包括风险评估、风险处理、控制选择、记录控制、资源、ISMS的监视和复查、以及文件要求。
 
  通过BS 7799-2认证的组织现在需要做什么?
 
  需要特别注意的是:新的国际标准是双重的,既可以是ISO/IEC 27001:2005,又可以是BS 7799-2:2005。这种情况会持续一段时间(预期2年左右),这就意味着BS 7799-2:2005认证和ISO/IEC 27001:2005认证没有什么不同。然而,目前所有通过现行的BS 7799-2:2002认证的组织必须考虑2005版本的变化,及时更新他们信息安全管理体系。
 
  通过BS 7799-2:2002认证的组织会逐步转换到ISO/IEC 27001认证。转换期限多久现在还不得而知,要等待国际认可论坛(IAF),或国家认可机构(如UKAS)发表正式声明来公布。实际上,在以后的监督审核中,会把这些不同点考虑在内;如果合适的话,建议客户取得ISO/IEC 27001:2005标准的认证。
 
  如果在转换期内客户不及时转换到新标准,一直停留在旧标准,审核员可以把与ISO的不一致作为“注释/观察项”记录在案。一旦转换期结束,观察项就上升为不符合项,证书的注册就存在了风险。
 
  新标准发布后,就可以依据ISO/IEC 27001:2005进行认证了。


有产品办理检测认证或想了解更多详情资讯,请联系亿博检测中心:13824328299
二维码

关闭窗口
上一篇:没有了
下一篇:公司为什么做ISO27001信息安全管理体系认证?

相关阅读

iso27001认证咨询机构/iso27001认证中心
iso27001认证咨询机构/iso27001认证中心

iso27001认证咨询机构有哪些,iso27001认证中心哪家好,国内哪些ISO27001认证机构才是合法的...

影响ISO27001认证咨询收费有哪些因素?
影响ISO27001认证咨询收费有哪些因素?

本文主要是介绍影响ISO27001认证咨询收费有哪些因素,ISO27001认证咨询代理收费会受到哪些因素影响,iso27001质量体系认证等内容....

ISO27001认证适用于所有类型的组织吗?
ISO27001认证适用于所有类型的组织吗?

本文详细的为您介绍了ISO27001认证申请的基本条件,ISO27001认证适用于哪些类型的组织的内容....

ISO27001认证的产生背景和发展历程是什么样的?
ISO27001认证的产生背景和发展历程是什么样的?

本文详细的为您介绍了ISO27001认证的产生背景和发展历程等相关内容。...

官方微信公众号

深圳第三方检测机构

深圳市宝安82区新安六路勤业商务中心A栋一楼112-114

座机0755-29451282

邮箱:yuhaoqun@ebotek.cn

手机号13824328299

微信:13824328299(同手机号码)