ISO 27001 信息安全管理体系认证是国际标准化组织(ISO)发布的信息安全管理体系(ISMS)标准,它为组织提供了一个框架,帮助其在设计、实施、监控和持续改进信息安全管理体系时遵循一定的要求。ISO 27001还包括了ISO 27002,ISO 27002作为27001的解释性说明文件,提供相应的管理标准。
该体系也是当前企业开展信息安全管理工作的主要指南,适用于全球范围内的企业安全建设,如公司需要开展建设信息安全工作,可以依据ISO27001管理要求开展。
一、建立信息安全管理体系有什么注意事项?
一般情况下企业建设信息安全管理体系,会同ISO 27701数据安全管理体系与ISO 29151隐私安全管理体系一同来开展建设,能够更为完善的建设公司的信息安全与数据安全。
由于小公司一般对于信息安全与数据安全以及IT运维的关系十分模糊,一般会将安全部门放在IT部门下管理,这在公司的发展初期而言是可行的,但这也会导致安全失去了其主动性,而是被动的配合IT的工作开展,甚至沦为IT的附属部门。
二、信息安全管理体系中都有什么内容?
对比2013版本2022版ISO 27001,ISO 27001:2022版本将信息安全控制框架结构重新构建为四大主题:人员、物理、技术和组织。
a. 一级目录没有变化;二、三级目录为了同步高级架构(HLS)有变化。
b. 体系方法保持不变;
c. 控制域变化、控制目标新增:
2013版本有14个控制域和35个控制目标;2022版本变为4个主题目标。
27002:2022版本增加了控制属性和控制视图。
2013版本有114个控制措施,2022版本有93个(更新了58个,合并了24个,新增11个)
如果您有企业认证方面的问题,欢迎咨询我们