如今,信息資產的重要性已經不言而喻,但是隨著組織信息系統的數量、復雜性的增加,信息系統面對的危險也越來越大,包括非法入侵、黑客攻擊、人為損壞、天災人禍等,而這些信息資產的破壞不僅會給組織的IT基礎設施帶來嚴重的損失,更會影響到業務系統的正常運行。因此,英國標準協會(BSI)于1995年2月提出了BS7799標準,并于同年5月對該標準進行了重新修訂,把標準分為兩個部分。
第一部分BS7799-1信息安全管理實施規則,是組織實施信息安全管理體系的指導準則。將信息安全分為10個方面,分別為:安全策略、組織的安全、資產分類管理、人員安全、物力和環境安全、通信和操作管理、系統訪問控制、系統開發和維護、業務持續性管理和符合性。
第二部分BS7799-2信息安全管理體系規范,說明建立、實施和維護信息安全管理體系(ISMS)的要求,規定了根據獨立組織的需要應制定一套風險評估體系來鑒定實施安全控制的要求。
2000年12月1日,國際標準化組織(ISO)將BS7799-1修訂再版為ISO/IEC17799標準。
2005年,ISO組織對BS7799-2進行修訂采用為ISO27001:2005。
ISO27001:2005超越傳統IT范圍,著重于組織整體的信息安全管理。
ISO/IEC27001:2005的風險評估包括兩個方面:一方麗在IT的CIA(信息的保密性、完整性、可用性)遭到破壞后對組織帶來的傷害和影響進行評估;另一方面是對這種威脅和破壞以及實際的合理,控制而發生的實際可能性進行評估。
ISO/IEC27001:2005定義了完整的信息安全流程管理,有助于組織預測危險性事件發生造成的后果,井采取措施規避這些事件的發生。
ISO20000的13個流程中,信息、安全管理流程明確指出,只要組織符合BS7799標準的范疇大于ISO20000的標準范疇,就能滿足ISO20000中信息安全管理流程的要求,若組織中只有某些部門符合BS7799標準,則該組織無法符合ISO20000的標準。
在ISO20000和ISO27001中都有對文檔體系的要求,如果一個組織要同時執行這兩套標準,在文檔體系應盡量采取兼容的方式,避免出現完全獨立的兩套文檔體系。一個可行的辦法是以ISO20000的文檔體系為主要文檔體系,將信息安全的要求落實到具體的流程管理文檔、技術文檔中,或作為ISO20000中信息安全管理流程的管理文檔。
除文檔體系的融合外,另一個需要融合的領域是指標體系的融合。ISO27001的133個控制點覆蓋面非常廣,可以在ISO20000的流程指標中融入安全的要求,在必要的領域設置專門的安全類指標,整合為一個完整的指標體系,使兩個體系可以完全融合。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
