什么是ISO 27001

我们将解释ISO 27001是什么以及它与IT管理系统的关系ISO 27001是IT系统的国际标准，提供保护公司IT资产安全的政策和程序。它构成了更广泛的ISO 27000 IT标准系列的一部分，所有这些标准都涉及信息安全管理系统，但具体涉及将业务的安全流程统一到一个管理平台中。

ISO 27001的一个主要部分是控制公司的风险管理策略，找出可能使公司数据面临风险的问题，并制定流程和程序以防止出现问题。

ISO 27001汇集了系统和指南，以及如果对业务进行审计以分析其流程的认证。在20世纪90年代开发ISO 27001(或首次公知的BS7799)之前，组织通常有多种服务来处理数据安全性和风险，因此开发了ISO 27001以将所有这些服务集中在一个标准之下。

例如，在ISO 27001之前，企业的某些领域可能被视为高风险，因此有正式的政策来管理数据的处理方式，而同一公司的基础设施的其他部分，如文书工作，可能不是这样的好好照顾。通过新标准，企业能够在一个地方管理所有这些组件。

ISO 27001的目的是在一个地方或一个管理解决方案中保护所有内容，这些解决方案可以由整个组织的管理人员监督，而不是每个经理都有责任只监控他们负责的业务方面。ISO 27001的历史

关于IT安全的指导是在1992年首次引入的，当时贸易和工业部(DTI)发布了行为准则或IT安全管理。

1995年，英国标准协会将其重新发布为BS7799。这是多年来修订的，在2000年，它作为ISO快速跟踪并成为ISO 17799。

2002年更新了这个，第二部分介绍了 - 信息安全管理规范BS7799-2，而不是实践代码。此更新于2005年进入ISO快速通道，并成为ISO27001。

它在2013年进行了大量更新，改进了ISO27001的工作方式。一个主要的变化是解决使用数据库存储信息而不仅仅是物理文档的趋势。

ISO 27001中的关键指南

尽管ISO 27001有许多要求，但主要关注点(以及为了使组织获得认证而进行审核的要求)是管理层必须不断分析企业安全风险，设计和实施一系列安全控制以及如何管理风险并采用整体管理流程，确保业务永远不会风险，并且不断解决安全需求。具体而言，ISO 27001要求管理层：通过风险评估检查组织的安全漏洞设计并实施一整套安全控定义ISMS的范围采用新流程确保新的安全控制措施满足业务需求

如何获得ISO 27001认证获得ISO 27001认证是证明贵公司对数据安全的承诺的一种很好的方式，并表明您认真对安全管理。当面对两个组织时，客户通常会选择经过认证的组织，而不是那个组织。ISO 27001认证由第三方认证机构承担，每个认证过程的差异很大。

在审计开始之前，公司的管理层将决定完成后将进行认证的业务部分。这可以是整个组织，也可以只是一个部门或部门，具体取决于管理层认为合适的内容。

未包含在此初始范围内的任何内容都不会被认证，因此，如果只有部分业务获得认证，则无法保证组织的其他部分遵守准则。