ISO27001证书由国际机构APMG发证,作为信息安全管理领域的标准认证体系,受到了广泛的认可和应用,其包含了很多方面,如数据处理、隐私保护的要求以及法律法规和人员资产管理等,可以用于企业建立和实施信息安全管理体系,并全面系统地组织信息安全管理。
ISO27001的三大要素
ISO27001标准基于三个原则:保密性、完整性和实用性。内容包括以下几个方面:
1、信息安全政策;
2、信息安全组织;
3、人力资源保障;
4、资产管理;
5、访问控制;
6、加密;
7、人身和环境安全;
8、操作安全;
9、通信安全;
10、系统获取、开发和维护;
11、供应关系;
12、信息安全事件管理;
13、信息安全方面的业务连续性管理;
14、遵守。
什么类型的企业适合实施ISO27001?
从理论上来讲,任何企事业单位都可以实施ISO27001。但是实际上业界实施ISO27001的企业主要集中在IT企业、银行、证券、金融、电信、电力等对信息和信息系统依赖比较高的企事业单位。如果企业或者企业的某个部门对信息及信息系统的保密性、完整性和可用性要求比较高,那么实施ISO27001将是zuijia选择。
小企业适合实施ISO27001吗?
ISO27001作为一个信息安全管理标准适用于所有规模的企业。大到上千人的企业,小到几个人的企业都可以实施ISO27001。在中国大部分IT企业都是中小企业,信息是企业的核心资产。但是很多企业的信息安全意识不强,信息安全管理制度不健全,经常发生机密信息泄露、核心数据丢失或遭破坏等严重信息安全事件,给企业造成严重损失。因此中小IT企业也急迫需要引入业界zuijia实践来规范企业的信息安全管理。