iso27001资料(ISO27001是什么标准)

ISO27001是什么标准

ISO27001是有关信息安全管理的国际标准?最初源于英国标准BS7799,经过十年的不断改版,终于在2005年被国际标准化组织(ISO)转化为正式的国际标准,于2005年10月15日发布为ISO/IEC27001:2005?该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的安全管理

iso27001体系可以分为哪类

ISO27001信息安全风险分为：人员风险、组织风险、物理环境风险、信息机密性/完整性风险、系统风险、通信操作风险、基础设施风险、业务连续性风险、第三方风险、风险评估风险、法律风险和风险决策风险共十二个方面。

1）人员风险

由于组织缺乏人员安全管理、明确的职责和意识教育，内部无意或恶意人员的失误或攻击，以及来自外部恶意或好奇人员或组织的攻击，会使组织业务面临大的风险。

2）组织风险

如果组织在信息安全组织管理方面基础薄弱、职责不清、技术服务能力差等原因，使组织在信息安全管理方面处于失控状态，加大了信息安全风险。

3）物理环境风险

由于缺乏对组织场所的安全保卫，或是防水、防火、防雷等保护措施，在面临偷盗、自然灾难时，有时会造成极大的损失。

4）信息机密性/完整性风险

信息是组织信息技术系统装载的业务数据，是一种非常重要价值的资产，甚至一些观点认为信息是组织的血液，是“一种在资产负债表之外，经过逐渐积累的，可以被用来提升组织竞争优势的信息”。同实物资产相比，信息非常分散并且易于复制，是组织业务流程的重要输入和输出数据，比如客户资料、产品设计等，如果得不到正确的识别、评估、保存和管理，就面临可能被窃取、损毁、丢失的风险，不但使依赖于这些关键信息的核心业务造成严重损坏，还会对组织的信誉、声望造成巨大损失，甚至会摧毁整个组织。信息风险管理，主要是保证信息的机密性、完整性和可用性。

5）系统风险

通常所用的计算机操作系统，以及大量应用软件在组织业务交流中的使用，尤其是定制应用产品，来自这些系统和应用软件的问题和缺陷会对一系列系统造成影响，尤其是多个应用系统互联时，影响会涉及整个组织的多个系统。比如有的系统维护困难、结构不完善、缺乏文档、设计漏洞等多种问题，有时会在系统升级和安装补丁时引入较高的风险。系统风险要求机构对系统应用具备协同、维护、测试、版本管理、配置管理、系统管理、监控等方面具备管理能力。

6）通信操作风险

如果在通讯加密、应用分区、防病毒、IDS等安全措施出现技术或管理问题时，被攻击者利用后，会引发信息安全风险。

7）基础设施风险

基础设施包括支撑业务应用系统的网络（局域网、广域网、互联网、专线网、无线网）、硬件（服务器、主机、应用终端、共享设备）、物理环境，它们是组织业务赖以生存的基础（如电力、WEB服务器、数据库服务器等），一旦出现故障或中断，它所承载的应用也会出现问题或停顿。基础设施风险要求组织在应用层、网络层、链路层、物理层面进行综合防御。

8）业务连续性风险

依赖于信息系统服务的组织关键业务可能因系统的“宕机”而中断，或是因系统服务效能的降低（如响应时间过长）造成新客户的流失或老客户的转移。业务连续性风险，要求机构具备信息技术服务、安全事件处理和灾难恢复能力。

9）第三方合作风险

第三方指服务供应商、销售商。随着外包业务的兴起，许多组织业务依赖于供应商和销售商的服务提供，由于不完备的合同、第三方服务能力性能下降、不适应快速增长的业务需求、缺乏第三方的管理经验、产品支持失效、过短的升级周期、功能性不足等多种风险因素，导致第三方服务失效。第三方合作风险要求在合同谈判、转换服务上加强风险管理。

10）风险评估风险

如果不专业的风险评估人员、不科学的评估方法、不一致的评估标准常常会造成系统风险评估的不一致、不正确的风险评估结果，造成风险决策出现失误。

11）法律风险

在信息系统的运行过程中，由于不知晓国家法律，或是明知故犯，使组织面临由于个人隐私泄露所造成的风险。

12）决策风险

应用风险评估的结果进行风险决策和控制选择是信息安全风险管理的核心，也是最终的目标。如果在风险分析、评估、控制方面不能全面、科学反映组织的安全状态，决策者可能会在安全投资方面出现重大失误。决策风险主要是依据风险评估的结果在风险避免、风险减缓、风险转移和风险承受四个方面进行权衡决策，避免决策失误。

iso27001 iso27001 La区别

ISO27001是信息安全管理体系认证证书，是建立和维护信息安全管理体系的标准。其目的是能有效保证企业在信息安全领域的可靠性，降低企业泄密风险，更好的保存核心数据。涉及的行业包括电信、保险、银行、数据处理中心、IC制造和软件外包等。

而ISO27001LA是主任审核员，具备全球认可的ISO27001审核师资格，也就是俗称的外审员、审核老师，是经过专业培训、国家统考、再注册取得的证书，对需要认证ISO27001证书的企业有审核资格。所以一个是企业认证，一个是个人证书。

iso27001是英国哪个协会提出

英国标准协会

信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分：BS7799-1，信息安全管理实施规则；BS7799-2，信息安全管理体系规范。

ISO27001和ISO20000认证已经成为企业核心竞争力的重要标志。