国际标准化组织/IEC27001:2005信息安全管理体系标准已成为世界上应用最广泛、最典型的信息安全管理标准。iso/iec27001由英国标准BS7799转换而来。
作为组织的重要资产,信息需要得到适当的保护。然而,随着信息技术的快速发展,特别是互联网的出现和网上交易的开放,也出现了许多信息安全问题:系统瘫痪、黑客攻击、病毒感染、网页重写、客户数据丢失和公司内部数据泄露等。这些都给组织的管理、生存乃至国家安全带来了严重的影响。证券问题造成的损失远远大于交易的账面损失,可分为直接损失、间接损失和法律损失三类。
1.直接损失。
订单减少,直接收入减少,生产力损失;
2.间接损失。
恢复成本、竞争力损害、品牌和声誉损害、负面公众影响、未来商业机会损失、对股票市场价值或政治声誉的影响;
3.法律损失。
法律法规制裁导致相关诉讼或追索等。
因此,在享受现代信息系统带来的速度和便利的同时,如何充分防止信息的破坏和泄漏成为企业迫切需要解决的问题。
ISO27000体系有什么好处?
1.遵守法律法规。
获得证书可以表明该机构遵守了所有适用的法律和法规。从而保护企业及相关方的信息系统安全、知识产权、商业秘密等。
2.维护企业的声誉、品牌和客户信任。
获得证书可以增强员工的信息安全意识,规范组织信息安全行为,减少人为因素造成的不必要损失。
3.履行信息安全管理职责。
证书本身可以证明组织在各级安全保护方面做出了卓有成效的努力,表明管理层履行了相关职责。
4.增强员工的意识、责任感和相关技能。
获得证书可以增强员工的信息安全意识,规范组织信息安全行为,减少人为因素造成的不必要损失。
5.保持可持续的业务发展和竞争优势。
建立全面的信息安全管理体系,意味着组织核心业务所依赖的信息资产得到妥善保护,建立有效的业务连续性规划框架,增强组织的核心竞争力。
6.实施风险管理。
有助于更好地了解信息系统,找出存在的问题和保护方法,确保组织自身的信息资产能够在合理完整的框架下得到妥善保护,保证信息环境的有序稳定运行。
7.减少损失和成本。
ISMS的实施可以减少潜在安全事件对组织造成的损失,当信息系统受到入侵时,可以保证业务的持续发展,将损失降到最低。
ISO27001:2005是全球唯一的信息安全管理标准,已被全球5000多家政府机构和知名企业采用。通过风险评估和风险管理,切入企业信息安全需求,有效降低企业面临的风险。建立信息安全管理体系已经成为各种组织,特别是高科技行业和金融机构管理操作风险不可或缺的重要机制。在软件外包行业,ISO27001认证已经成为客户的必要条件。
