ISO27001:2005–信息安全管理体系标准已成为世界上应用最广泛和最典型的信息安全管理标准,由英国标准BS7799转化为ISO27001。
情报作为组织的重要资产,需要得到适当的保护。但是,随着信息技术的高速发展,尤其是因特网的出现和在线交易的普及,很多信息安全问题也随之而来:系统瘫痪,黑客入侵,病毒感染,网页重写,客户资料的丢失,公司内部信息的泄露等。这对企业的经营管理、生存发展乃至国家安全都产生了严重影响。由于安全性问题造成的损失远远超过交易损失,因此可以将其分为直接损失、间接损失和法律损失三大类。
一、直接损失
丢掉订单,降低直接收入,降低生产力;
二、间接损失
复原成本,竞争力受损,品牌,声誉受损,负面的公共影响,失去未来的商业机会,影响股票市场价值和政治声誉;
三、法律损害。
通过法律、法规的制裁,导致相关的诉讼或追索等。
因此,在享受现代化信息系统所带来的快捷、便利的同时,如何对信息的损坏与泄露进行充分的防范,已经成为目前企业亟待解决的问题。
采用ISO27000标准有何好处?
一、符合法律和法规的要求。
获得证书后,可向主管机关证明组织遵守了所有适用的法律和规章。因此,企业及有关各方的信息系统安全,知识产权,商业秘密等得到保护。
二、维护企业声誉、品牌及顾客信任。
通过获取认证,增强员工信息安全意识,规范组织信息安全行为,减少人为因素带来的不必要损失。
三、履行管理信息安全的责任。
获得认证,本身就可以证明组织在各层次的安全保障方面做了卓有成效的工作,表明管理人员履行了相应的责任。
四、提高员工的意识、责任意识及相关技能。
通过获取认证,增强员工信息安全意识,规范组织信息安全行为,减少人为因素带来的不必要损失。
5.维持持续的业务发展和竞争优势。
信息安全管理体系的建立,意味着对组织核心业务所依赖的各种信息资产进行了适当的保护,并建立了有效的业务持续规划框架,从而提升了组织的核心竞争力。
6.实现风险管理。
帮助更好地了解信息系统,并找出存在的问题和保护的方法,以保证组织本身的信息资产在一个合理和完整的框架内得到适当的保护,确保信息环境有序和稳定地运行。
7.减少损失和费用。
实施ISMS,可减少由于潜在安全事件而给组织造成的损失,在信息系统遭到攻击时,可确保业务持续运作,并最大限度地减少损失。
ISO27001:2005是目前世界上唯一的信息安全管理标准,被世界各地5000多家政府机构和著名企业采用,通过风险评估、风险管理,切入企业信息安全需求,有效地降低企业面临的风险,建立信息安全管理体系,已成为各类组织,尤其是高新技术企业、金融机构等管理运营风险不可或缺的重要机制,在软件外包行业,ISO27001认证已成为客户要求的必备条件。
