ISO27001（BS7799/ISO17799）國際標準究竟是什么？它如何幫助一個組織更加有效地管理信息安全？BS7799/ISO27001和ISO9001之間有什么聯(lián)系？初次涉獵信息安全管理領域應該掌握哪些內(nèi)容，以便組織發(fā)起信息安全管理項目？如何獲得BS7799國際標準認證？
IT治理和信息安全
近年來企業(yè)高層對內(nèi)部治理需求越來越實際而具體。隨著信息技術普遍滲透到企業(yè)組織中的各個方面，企業(yè)越來越依賴IT系統(tǒng)來處理和儲存各種信息，以保證業(yè)務正常運營，由此IT系統(tǒng)在企業(yè)治理中的作z用越來越明晰，IT治理也逐漸被大多數(shù)企業(yè)認可，成為董事會和企業(yè)內(nèi)部共同關注的領域。IT治理的基礎部分是信息安全保護——包括確保信息的可用性、機密性和完整性——這是其他IT治理環(huán)節(jié)實施的前提。與此同時，和信息安全相關的國際標準已經(jīng)出臺，成為標準IT治理框架中的一大基石。
信息安全和法律法規(guī)
業(yè)內(nèi)人士對ISO27001認證趨之若鶩，這其中有兩個關鍵性的驅(qū)動因素：一是日益嚴峻的信息安全威脅，二是不斷增長的信息保護相關法規(guī)的需求。本質(zhì)上說，信息安全威脅是全球化的。一般來說，它將毫無差別地輻射到每一個擁有、使用電子信息的機構和個人。這種威脅在因特網(wǎng)的環(huán)境中自動生成并釋放。更嚴重的問題是，其他各種形式的危險也在整日威脅數(shù)據(jù)安全，包括從外部攻擊行為到內(nèi)部破壞、偷盜等一系列危險。過去的十年內(nèi)，圍繞信息和數(shù)據(jù)安全問題建立起來的法律法規(guī)體系從無到有、不斷壯大，其中包括專門針對個人數(shù)據(jù)保護問題的，也有針對企業(yè)財政、運營和風險管理體系建立的法規(guī)保障問題的。一套正式規(guī)范的信息安全管理體系應當可以提供最佳實踐部署指導。目前，建立這樣的管理體系逐漸成為諸多合規(guī)項目的必要條件，與此同時，針對該管理體系的認證逐漸成為各種組織（包括政府部門）的熱門需求，這份認證可以為他們帶來重要的潛在商業(yè)合同。
信息安全和技術
絕大多數(shù)人認為信息安全是一個純粹的有關技術的話題，只有那些技術人員，尤其是計算機安全技術人員，才能夠處理任何保障數(shù)據(jù)和計算機安全的相關事宜。這固然有一定道理。不過，實際上，恰恰是計算機用戶本身需要考慮這樣的問題：避免哪些威脅？在信息安全和信息通暢中如何平衡取舍？的確如此，一旦用戶給出答案，計算機安全專家就可以設計并執(zhí)行一個技術方案以達成用戶需求。在組織內(nèi)部，管理層應當負責決策，而不是IT部門。一個規(guī)范的信息安全管理體系必須明確指出，組織機構董事會和管理層應當負責相關信息安全管理體系的決策，同時，這個體系也應當能夠反映這種決策，并且在運行過程中能夠提供證據(jù)證明其有效性。所以機構組織內(nèi)部的信息安全管理體系的建立項目不必由一個技術專家來領導。事實上，技術專家在很多情況下起到相反的作用，可能會阻礙項目進程。因此，這個項目應該由質(zhì)量管理經(jīng)理、總經(jīng)理或者其他負責機構內(nèi)部重大職能的執(zhí)行主管負責主持。                        

蘇州思特瑞信息技術有限公司專業(yè)ISO27001 CMMI ISO20000咨詢服務提供商
姓名：葉小姐
電話：0512-62653189
手機：13584882490
Q Q：997407315
郵箱：lily@szstr.com
地址：蘇州工業(yè)園區(qū)仁愛路258號C207