ISO/IEC27001标准的英文全称是Information technology - Security techniques - Information security management systems - requirements,即信息技术;安全技术;信息安全管理体系 要求。ISO27001是信息安全管理体系(I***S)的规范标准,是为***机构提供信息安全认证执行的认证标准,其中详细说明了建立、实施和维护信息安全管理体系的要求。它是BS7799-2:2002由国际标准化***及国际电工***会转换而来,并于2005年10月15日颁布。现在的版本是ISO27001:2013。
ISO27001信息安全管理体系标准为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(I***S)提供了模型。I***S的采用是***的战略性决策。***I***S的设计和实施受***需求、目标、安全需求、应用的过程以及***规模和结构的影响。经过一段时间,***及其支持系统会发生改变。因此I***S的实施应与***的需要相一致,如,简单的环境只需要一个简单的I***S解决方案。
ISO27001信息安全管理体系的目标:是透过一整体规划的信息安全解决方案,来确保企业所有信息系统和业务的安全,并保持正常运作。
信息安全管理体系利用风险分析管理工具,结合企业资产列表和威胁来源的调查分析及系统安全弱点评估等结果,并综合评估影响企业整体的因素,来制定适当的信息安全政策与信息安全作业准则,从而降低潜在的风险危机。
信息安全管理体系适用于所有类型的***(例如:商业企业、***机构、非盈利***),包括但不限于,***、证券、***等***机构;交通、能源等大型国有企业;互联网数据中心(IDC)服务提供商;软件和信息技术服务企业;公共管理、社会保障和社会***等。