ISO/IEC 27001 信息安全管理体系
随着科技的普及化和依赖,信息安全成为组织机构成功的关键因素。与此同时,科技发展一日千里,企业的信息体系管理风险亦相对增加。
认证标准
ISO/IEC 27001列明在机构内建立、执行、维护及持续改善信息安全管理体系的要求,亦包括针对机构需要的审核及处理信息安全风险要求。ISO/IEC 27001的要求具有通用性,适用于任何类型、规模及性质的机构。
体系要求
ISO/IEC 27001 集中处理信息风险管理,以评估信息风险的程度及缓和相关风险。「要求」项目是必备的要求。只要在不影响企业责任和影响其信息安全管理要求的责任下,附录A的「控制措施」可以豁免。
认证的效益
- 可作为规划安全体系要求和目标的衡量标准
- 有效及达至成本效益的风险管理
- 可融入于现有的ISO 9001 及其他管理体系
- 展现对客户的承诺
|