ISO27000认证是信息安全管理体系认证。像其他ISO管理体系标准一样,ISO 27001认证,不是强制性的体系认证。一些企业选择运行该标准,以便从运行过程中提高自己的管理水平,而另一些企业则也希望他们获得认证,使客户和客户信任自己。 ISO27001是ISO27000系列的主标准,类似于ISO9001质量管理体系认证,各类组织可以按照ISO27001的要求建立自己的信息安全管理体系
ISO27000信息安全管理体系认证和ISO20000信息技术服务管理体系认证的区别 ISO20000是面向机构的IT服务管理标准,目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(的模型。建立 IT服务管理体系已成为各种组织,特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。ISO20000让IT管理者有一个参考框架用来管理IT服务,完善的IT管理水平也能通过认证的方式表现出来。 可翻译为“信息技术- 安全技术-信息安全管理体系 要求”。它规定信息安全管理体系要求与信息安全控制要求,是 一个组织的全面或部分信息安全管理体系评估的基础。前者针对整体的信息服务管理,后者针对信息安全管理。
ISO27000包含那些标准
规划的ISO27000系列包含下列标准ISO27000 原理与术语
ISO27001 信息安全管理体系—要求
ISO27002 信息技术—安全技术—信息安全管理实践规范
ISO27003 信息安全管理体系—实施指南
ISO27004 信息安全管理体系—指标与测量
ISO27005 信息安全管理体系—风险管理
ISO27006 信息安全管理体系—认证机构的认可要求
ISO27007 信息技术-安全技术-信息安全管理体系审核员指南
企业运行ISO27001信息安全管理体系到完成认证的5个步骤:
