时间:2022-10-16 10:30:01 | 来源:信息时代
时间:2022-10-16 10:30:01 来源:信息时代
信息技术—安全技术—信息安全管理体系—要求 : 2005年由国际标准化组织确认的关于信息安全管理体系的一套建设规范和实用规则。其基础是英国的BS7799标准。
1995年,英国标准协会(BSI)受英国贸易工业部(The Department of Trade and Industry,DTI)的委托制定了信息安全管理体系,以编号BS7799-1出版,1998年,英国标准协会又发布了编号BS7799-2的规范标准,1999年BSI修改了该标准。其中BS7799-1是涉及信息安全管理的组织启动、实施和维护等安全准则,BS7799-2是有关建立、实施和格式化信息安全管理体系中的管理实施规则。2000年,BS7799的两套标准被提交到国际标准化组织(ISO)审议,其中,BS7799-1通过审议升级成为国际标准,编号为ISO 17799。BS7799-2于2005年也升级为国际标准,编号为ISO 27001。
用ISO 27001标准对信息安全管理认证主要有七个步骤:①按照ISO 27001(BS7799-2)建立框架。②评估费用和审核时间。③向认证机构递交申请。④认证机构预审。⑤认证机构对信息安全管理所采用的策略、程序和风险评估进行审核。⑥认证机构对信息安全管理的实施,尤其是程序规范的执行情况进一步审核。⑦认证机构在确定认证范围后,发放信息安全体系证书,有效期通常为三年。