iso/iec 27001是什么标准

首先，ISO 27002标准的前身是由英国单位发布一套准则，其随后进化为BSI标准（即BS7799），接着发展为ISO标准（ISO 17799）。ISO/IEC 27001标准是证实组织满足要求的标准，然而重命名为ISO/IEC 27002的ISO/IEC 17799标准实际上才是恰当的最佳实践。    通过ISO 27001认证咨询的公司需要经过认可机构要求的申报过程，并由申报员提供报告。这是一个漫长、耗时的过程，限于选择的公司。当满足ISO 27001合规后，这可能意味着许多事情，例如CPA公司发布AUP（Agreed Upon Procedures，商定审查业务）报告表明你的公司是ISO合规满足的，或是某个老道的ISO审计员进入你的组织来帮助你们满足所有相关的ISO要求从而达到ISO合规遵从。    最后，来自被认可的申报员的ISO证书也能表示你们是ISO合规满足的。被认证咨询与合规满足可能是一回事，但它们也可能是完全不同的两件事。 。

百度通过了ISO/IEC 27001:201
3、ISO/IEC 27018:201
4、ISO/IEC 27017:201
5、ISO/IEC 27032:201
2、ISO 22301:201
2、CSA STAR CERTIFICATION 2013标准等安全认证咨询。

ISO27701是隐私信息管理体系，ISO/IEC 27701正是基于此需求而开发的一项国际管理体系标准，它是对ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制在隐私信息管理方面的扩展，它为组织在保护个人隐私信息方面提供指导…

国际信息安全管理标准ISO}IEC 27001:2013正式实施 ISO组织于2013年9月26日推出正式版本ISO/IEC 27001:2013信息安全管理体系标准。新版本标准涉及标准正文、风险管理及标准附录等多方面变化。关于此次认证咨询转换时间安排现已确认标准正式发布日期为2013年10月1日认证咨询过渡期为两年从2013年10月1日至2015年09月30日。因止匕SGS特别提醒已获证企业最迟需要在2015年9月3。日前的监督审核或换证审核时将符合2005版的管理体系认证咨询转换到2013新版标准。.标准正文变化ISO指引2012版Annex SL对管理体系标准在结构、格式、通用短语和定义方面进行了统一。这将确保今后编制或修订的管理体系标准的持续性、整合性和简单化这也将使标准更易读、易懂。采用Annex SL颁布的管理体系标准已有ISO 22301,ISO 20121, ISO 30301,ISO 27001将来发布的ISO 9001:2015和ISO 14001:2015都将采用相同的框架结构。.风险管理变化新版的ISO 27001标准中信息安全风险管理要求与ISO 31000:2009(风险管理一原则和指引)保持一致并遵从其中的定义这样让信息安全风险管理更容易与企业级风险管理集成。 标准附录变化 新版ISO 27001依然保留适用性声明(SoA)和附录A控制目标、控制措施的架构由原来的11个控制域39个控制目标133个控制措施修订为14个控制域35个控制目标114个控制措施这些控制目标和控制措施突显了加密管理、供应链管理的重要性增强了控制域的结构性和系统性同时减少对技术实现的关注增加对管理控制的要求。控制措施变化增加13个、删除25个、合并减少7个总计减少了19个。 企业应以改版为契机提升信息安全管理 在全球聚焦信息安全的背景下SGS建议企业通过如下采取措施以改版为契机提升企业信息安全管理。
1、企业管理者代表或其他负责人积极参加新版标准解读或相关研讨会了解标准改版内容用于领导和策划改版工作企业内部审核员、风险评估小组成员参加专业技术培训了解改版方向。
2、在企业人员了解标准改版方向及要点后应该内部进行风险管理检查评估原有风险管理程序和风险评估过程记录修订程序进行风险再评估从原来的信息资产关注转换为业务风险和相关方影响关注。
3、进行体系iso三体系认证升级根据新标准要，.求并结合风险再评估结果主要对手册、SoA、制度和表格进行修订并重点关注职责权限、信息安全管理目标、利益相关方的信息安全需求收集、供应链信息安全风险的考虑:。
4、对体系运行评审经过修订体系在运行一段时间后组织利用信息安 有效性测量、内部审核、管理评 审等评审工具对体系的运行进行评审为迎接新版的外部评审做准备。 SGS致力于为本土企业提供相关培训服务如风险管理升级培训、信息安全标准升级培训、内审员升级培训、新版风险管理培训、新版标准培训、新版内审员培训、高级管理师培训等。除了能够实施}SO/IEC 27001管理体系认证咨询服务在企业具体实施风险评估和体系升级的工作中SGS还可协助企业进行ISO/IEC 27001管理体系差距分树预审确保企业为最终审核做好充分准备。对于无认证咨询要求但有信息安全要求的客户及供应链SGS还可信息安全管理能力诊断定制服务供应链信息安全管理能力审核服务个人信息保护管理能力诊断服务iso体系认证保护能力诊断服务等。 您需要先在企业内部建立该体系，并有效运行至少3个月，才能找认证咨询机构进行认证咨询，审核后如果没有不符合项，就可以提交报告颁发证书了。进一步确认详情请单独谈谈。

国际信息安全管理标准iso}iec 27001:2013正式实施 iso组织于2013年9月26日推出正式版本iso/iec 27001:2013信息安全管理体系标准。新版本标准涉及标准正文、风险管理及标准附录等多方面变化。关于此次认证咨询转换时间安排现已确认标准正式发布日期为2013年10月1日认证咨询过渡期为两年从2013年10月1日至2015年09月30日。因止匕sgs特别提醒已获证企业最迟需要在2015年9月3。日前的监督审核或换证审核时将符合2005版的管理体系认证咨询转换到2013新版标准。.标准正文变化iso指引2012版annex sl对管理体系标准在结构、格式、通用短语和定义方面进行了统一。这将确保今后编制或修订的管理体系标准的持续性、整合性和简单化这也将使标准更易读、易懂。采用annex sl颁布的管理体系标准已有iso 22301,iso 20121, iso 30301,iso 27001将来发布的iso 9001:2015和iso 14001:2015都将采用相同的框架结构。.风险管理变化新版的iso 27001标准中信息安全风险管理要求与iso 31000:2009(风险管理一原则和指引)保持一致并遵从其中的定义这样让信息安全风险管理更容易与企业级风险管理集成。 标准附录变化 新版iso 27001依然保留适用性声明(soa)和附录a控制目标、控制措施的架构由原来的11个控制域39个控制目标133个控制措施修订为14个控制域35个控制目标114个控制措施这些控制目标和控制措施突显了加密管理、供应链管理的重要性增强了控制域的结构性和系统性同时减少对技术实现的关注增加对管理控制的要求。控制措施变化增加13个、删除25个、合并减少7个总计减少了19个。 企业应以改版为契机提升信息安全管理 在全球聚焦信息安全的背景下sgs建议企业通过如下采取措施以改版为契机提升企业信息安全管理。
1、企业管理者代表或其他负责人积极参加新版标准解读或相关研讨会了解标准改版内容用于领导和策划改版工作企业内部审核员、风险评估小组成员参加专业技术培训了解改版方向。
2、在企业人员了解标准改版方向及要点后应该内部进行风险管理检查评估原有风险管理程序和风险评估过程记录修订程序进行风险再评估从原来的信息资产关注转换为业务风险和相关方影响关注。
3、进行体系iso三体系认证升级根据新标准要，.求并结合风险再评估结果主要对手册、soa、制度和表格进行修订并重点关注职责权限、信息安全管理目标、利益相关方的信息安全需求收集、供应链信息安全风险的考虑:。
4、对体系运行评审经过修订体系在运行一段时间后组织利用信息安 有效性测量、内部审核、管理评 审等评审工具对体系的运行进行评审为迎接新版的外部评审做准备。 sgs致力于为本土企业提供相关培训服务如风险管理升级培训、信息安全标准升级培训、内审员升级培训、新版风险管理培训、新版标准培训、新版内审员培训、高级管理师培训等。除了能够实施}so/iec 27001管理体系认证咨询服务在企业具体实施风险评估和体系升级的工作中sgs还可协助企业进行iso/iec 27001管理体系差距分树预审确保企业为最终审核做好充分准备。对于无认证咨询要求但有信息安全要求的客户及供应链sgs还可信息安全管理能力诊断定制服务供应链信息安全管理能力审核服务个人信息保护管理能力诊断服务iso体系认证保护能力诊断服务等。 您需要先在企业内部建立该体系，并有效运行至少3个月，才能找认证咨询机构进行认证咨询，审核后如果没有不符合项，就可以提交报告颁发证书了。进一步确认详情请单独谈谈。

任何使用内部或外部电脑系统、拥有机密资料及/或依靠信息系统进行商业活动地机构，均可采用 iso/iec 27001:2005标准。简单的说，也就是那些需要处理信息、并认识到信息保护重要性的机构。 iso/iec 27001 的控制目标及措施 iso/iec 27001制定的宗旨是确保机构信息的机密性、完整性及可用性，为达成上述宗旨，该标准共提出了39个控制目标及134项控制措施，推行iso/iec 27001标准的机构可在其中选择适用于其业务的控制措施，同时也可增加其他的控制措施。而与iso/iec 27001相辅的 iso 17799:2005 标准是信息安全管理的实务守则，为如何推行控制措施提供指引。 iso 27001 控制范围 目标 控制措施 安全政策 1 2 安全管理的组织工作 2 11 资产管理 2 5 人力资源安全 3 9 实体及环境安全 2 13 通讯及操作管理 10 33 进入及使用控制 7 25 系统发展及维护 6 16 信息安全事故管理 2 5 营运持续性计划 1 5 符合性 3 10 39 134

国际信息安全管理标准ISO}IEC 27001:2013正式实施

ISO组织于2013年9月26日推出正式版本ISO/IEC 27001:2013信息安全管理体系标准。新版本标准涉及标准正文、风险管理及标准附录等多方面变化。关于此次认证咨询转换时间安排现已确认标准正式发布日期为2013年10月1日认证咨询过渡期为两年从2013年10月1日至2015年09月30日。因止匕SGS特别提醒已获证企业最迟需要在2015年9月3。日前的监督审核或换证审核时将符合2005版的管理体系认证咨询转换到2013新版标准。.标准正文变化ISO指引2012版Annex SL对管理体系标准在结构、格式、通用短语和定义方面进行了统一。这将确保今后编制或修订的管理体系标准的持续性、整合性和简单化这也将使标准更易读、易懂。采用Annex SL颁布的管理体系标准已有ISO 22301,ISO 20121, ISO 30301,ISO 27001将来发布的ISO 9001:2015和ISO 14001:2015都将采用相同的框架结构。.风险管理变化新版的ISO 27001标准中信息安全风险管理要求与ISO 31000:2009(风险管理一原则和指引)保持一致并遵从其中的定义这样让信息安全风险管理更容易与企业级风险管理集成。

标准附录变化

新版ISO 27001依然保留适用性声明(SoA)和附录A控制目标、控制措施的架构由原来的11个控制域39个控制目标133个控制措施修订为14个控制域35个控制目标114个控制措施这些控制目标和控制措施突显了加密管理、供应链管理的重要性增强了控制域的结构性和系统性同时减少对技术实现的关注增加对管理控制的要求。控制措施变化增加13个、删除25个、合并减少7个总计减少了19个。

企业应以改版为契机提升信息安全管理

在全球聚焦信息安全的背景下SGS建议企业通过如下采取措施以改版为契机提升企业信息安全管理。

1、企业管理者代表或其他负责人积极参加新版标准解读或相关研讨会了解标准改版内容用于领导和策划改版工作企业内部审核员、风险评估小组成员参加专业技术培训了解改版方向。

2、在企业人员了解标准改版方向及要点后应该内部进行风险管理检查评估原有风险管理程序和风险评估过程记录修订程序进行风险再评估从原来的信息资产关注转换为业务风险和相关方影响关注。

3、进行体系iso三体系认证升级根据新标准要，.求并结合风险再评估结果主要对手册、SoA、制度和表格进行修订并重点关注职责权限、信息安全管理目标、利益相关方的信息安全需求收集、供应链信息安全风险的考虑:。

4、对体系运行评审经过修订体系在运行一段时间后组织利用信息安 有效性测量、内部审核、管理评

审等评审工具对体系的运行进行评审为迎接新版的外部评审做准备。

SGS致力于为本土企业提供相关培训服务如风险管理升级培训、信息安全标准升级培训、内审员升级培训、新版风险管理培训、新版标准培训、新版内审员培训、高级管理师培训等。除了能够实施}SO/IEC 27001管理体系认证咨询服务在企业具体实施风险评估和体系升级的工作中SGS还可协助企业进行ISO/IEC 27001管理体系差距分树预审确保企业为最终审核做好充分准备。对于无认证咨询要求但有信息安全要求的客户及供应链SGS还可信息安全管理能力诊断定制服务供应链信息安全管理能力审核服务个人信息保护管理能力诊断服务iso体系认证保护能力诊断服务等。

您需要先在企业内部建立该体系，并有效运行至少3个月，才能找认证咨询机构进行认证咨询，审核后如果没有不符合项，就可以提交报告颁发证书了。进一步确认详情请单独谈谈。

任何使用内部或外部电脑系统、拥有机密资料及/或依靠信息系统进行商业活动地机构，均可采用 ISO/IEC 27001:2005标准。简单的说，也就是那些需要处理信息、并认识到信息保护重要性的机构。

ISO/IEC 27001 的控制目标及措施

ISO/IEC 27001制定的宗旨是确保机构信息的机密性、完整性及可用性，为达成上述宗旨，该标准共提出了39个控制目标及134项控制措施，推行ISO/IEC 27001标准的机构可在其中选择适用于其业务的控制措施，同时也可增加其他的控制措施。而与ISO/IEC 27001相辅的 ISO 17799:2005 标准是信息安全管理的实务守则，为如何推行控制措施提供指引。

ISO 27001 控制范围 目标 控制措施

安全政策 1 2

安全管理的组织工作 2 11

资产管理 2 5

人力资源安全 3 9

实体及环境安全 2 13

通讯及操作管理 10 33

进入及使用控制 7 25

系统发展及维护 6 16

信息安全事故管理 2 5

营运持续性计划 1 5

符合性 3 10

39 134

任何使用内部或外部电脑系统、拥有机密资料及/或依靠信息系统进行商业活动地机构，均可采用 ISO/IEC 27001:2005标准。简单的说，也就是那些需要处理信息、并认识到信息保护重要性的机构。 ISO/IEC 27001 的控制目标及措施 ISO/IEC 27001制定的宗旨是确保机构信息的机密性、完整性及可用性，为达成上述宗旨，该标准共提出了39个控制目标及134项控制措施，推行ISO/IEC 27001标准的机构可在其中选择适用于其业务的控制措施，同时也可增加其他的控制措施。而与ISO/IEC 27001相辅的 ISO 17799:2005 标准是信息安全管理的实务守则，为如何推行控制措施提供指引。 ISO 27001 控制范围 目标 控制措施 安全政策 1 2 安全管理的组织工作 2 11 资产管理 2 5 人力资源安全 3 9 实体及环境安全 2 13 通讯及操作管理 10 33 进入及使用控制 7 25 系统发展及维护 6 16 信息安全事故管理 2 5 营运持续性计划 1 5 符合性 3 10 39 134

任何使用内部或外部电脑系统、拥有机密资料及/或依靠信息系统进行商业活动地机构，均可采用 ISO/IEC 27001:2005标准。简单的说，也就是那些需要处理信息、并认识到信息保护重要性的机构。 ISO/IEC 27001 的控制目标及措施 ISO/IEC 27001制定的宗旨是确保机构信息的机密性、完整性及可用性，为达成上述宗旨，该标准共提出了39个控制目标及134项控制措施，推行ISO/IEC 27001标准的机构可在其中选择适用于其业务的控制措施，同时也可增加其他的控制措施。而与ISO/IEC 27001相辅的 ISO 17799:2005 标准是信息安全管理的实务守则，为如何推行控制措施提供指引。 ISO 27001 控制范围 目标 控制措施 安全政策 1 2 安全管理的组织工作 2 11 资产管理 2 5 人力资源安全 3 9 实体及环境安全 2 13 通讯及操作管理 10 33 进入及使用控制 7 25 系统发展及维护 6 16 信息安全事故管理 2 5 营运持续性计划 1 5 符合性 3 10 39 134