本站综合消息:组织机构存储或处理的信息很容易遇到风险,如遭受攻击、程序错误或遇到自然灾害等,使用时也容易出现其他漏洞。信息安全对任何组织来说都十分重要,因此信息被视为宝贵“资产”,需要适当维护以防丢失、泄露或缺失。
通过采用信息安全管理体系标准,组织机构可以制定并实施强大的信息安全管理框架,保护包括财务数据、知识产权、员工信息以及客户或第三方交付的信息等在内的信息资产。
最近修订完成的ISO/IEC 27000:2016《信息技术-安全技术-信息安全管理体系-概述及术语》对信息安全管理体系进行了综述并对相关术语给出了界定。
负责该标准制定工作的是国际标准化组织与国际电工委员会信息技术联合委员会安全技术分委员会信息安全管理体系工作组(ISO/IEC JTC 1/SC 27/WG 1),秘书处设在德国标准化学会。召集人Edward Humphreys教授表示:“每一种常用语言都需要一套常用术语,而这也恰恰就是ISO/IEC 27000系列标准可以提供的。”
通过定义、达到、保持及提高信息安全水平的方式来保护信息资产,对于组织机构实现自身目标,提高合规能力和自身形象来说十分必要。此外,引导实施相关管理措施和降低信息安全风险等也属于信息安全管理的一部分。
ISO/IEC 27000 对信息安全管理体系标准(ISO/IEC 27001),如何帮助执行ISO/IEC 27001《信息技术-安全技术-信息安全管理体系-各项要求》中的要求以及二者的关系给予了高度概括。
ISO/IEC 27000 的编者Elzbieta Andrukiewicz解释道:“ISO/IEC 27000简要介绍了信息安全领域和信息安全管理体系,并阐明了如何运转、维护和改善该体系。”
该标准列举了成功运用信息安全管理体系所需的关键因素以及该体系标准可以带来的好处,解释了ISO/IEC 27001 系列标准内部如何利用多层次方法实现互通互补,阐明了各标准所涵盖的范围、作用及相互间的关系。同时,ISO/IEC 27000 还集所有 ISO/IEC 27001 标准所需的重要术语于一体。
ISO/IEC 27000:2016 是在2010年版本的基础上修订的。修订后的标准不仅进一步更新了内容,并且增强了与修订后的 ISO/IEC 27001及整个系列标准内其他正在审批的标准的一致性。
