1、背景介紹

信息作為組織的重要資產(chǎn)，需要得到妥善保護。但隨著信息技術(shù)的高速發(fā)展，特別是Internet的問世及網(wǎng)上交易的啟用，許多信息安全的問題也紛紛出現(xiàn)：系統(tǒng)癱瘓、黑客入侵、病毒感染、網(wǎng)頁改寫、客戶資料的流失及公司內(nèi)部資料的泄露等等，這些已給組織的經(jīng)營管理、生存甚至國家安全都帶來嚴重的影響。所以，在運用現(xiàn)代信息系統(tǒng)帶來的快捷、方便的同時，如何充分防范信息的損壞和泄露，已成為當前組織迫切需要解決的問題。

俗話說“三分技術(shù)七分管理”。目前組織普遍采用現(xiàn)代通信、計算機、網(wǎng)絡(luò)技術(shù)來構(gòu)建組織的信息系統(tǒng)。但大多數(shù)組織的最高管理層對信息資產(chǎn)所面臨的威脅的嚴重性認識不足，缺乏明確的信息安全管理方針和完整的信息安全管理制度，如系統(tǒng)的運行、維護、開發(fā)等崗位不清、職責不分、存在一人身兼數(shù)職的現(xiàn)象，這些都是造成信息安全事件的重要原因；同時，缺乏系統(tǒng)的管理思想也是一個重要的問題。所以，我們需要一個系統(tǒng)的、整體規(guī)劃的信息安全管理體系，從預(yù)防控制的角度出發(fā)，以確保組織的信息系統(tǒng)和業(yè)務(wù)數(shù)據(jù)的安全性。

2、標準簡介

目前，在信息安全管理體系方面，ISO/IEC 27001:2013——信息安全管理體系標準已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標準。ISO/IEC 27001：2013標準包括14個控制域、35個控制目標和114項控制措施，為組織提供全方位的信息安全保障。主要的14個控制域包括：

1)   信息安全方針和策略；

2)   信息安全組織；

3)   人力資源安全；

4)   資產(chǎn)管理；

5)   訪問控制；

6)   密碼；

7)   物理和環(huán)境安全；

8)   操作安全；

9)   通信安全；

10)  系統(tǒng)獲取、開發(fā)和維護；

11)  供應(yīng)商關(guān)系；

12)  信息安全事件管理；

13)  業(yè)務(wù)連續(xù)性管理的信息安全方面；

14)  符合性。

3、實施意義

?  有一套“量體裁衣”的信息安全管理控制措施和保護信息資產(chǎn)的制度框架。

?  形成了高層管理人員與技術(shù)負責人進行信息安全溝通的共同語言。

?  使組織將IT策略和組織發(fā)展方向統(tǒng)一起來，確保與IT相關(guān)的風險受到適當?shù)目刂啤?

?  通過方針、慣例、程序、組織結(jié)構(gòu)和軟件功能來確定控制方式并實施控制，持續(xù)提高組織信息安全管理水平。

?  降低信息安全對持續(xù)發(fā)展造成的風險，利用信息技術(shù)為組織創(chuàng)造新的戰(zhàn)略競爭機遇。

?  根據(jù)控制費用與風險平衡的原則合理選擇安全控制方式。

?  使信息風險的發(fā)生概率和結(jié)果降低到可接受水平，保持組織業(yè)務(wù)運作的持續(xù)性。

4、認證依據(jù)

ISO/IEC 27001:2022或GB/T 22080-2016/ISO/IEC 27001:2013

5、適用范圍

適用于所有類型的組織（例如：商業(yè)組織、政府機構(gòu)、非盈利組織），例如：銀行、證券、保險等金融機構(gòu)；交通、能源等大型國有組織；互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）服務(wù)提供商；軟件和信息技術(shù)服務(wù)組織；公共管理、社會保障和社會組織等。