IEC和ISO近日联合发布了一项新的国际标准ISO/IEC 27001,该标准把旨在提高安全性和保护信息的基于程序的管理体系标准结合了起来。
ISO/IEC 27001:信息技术-安全方法-信息安全管理体系-要求,为组织与信息安全缺陷作斗争,预防威胁、确保商业的连续性、使商业损失最小化,并使投资回报和商业机会最大化提供了条件。
“ISO/IEC 27001的发布是信息安全界的一件大事,它受到了热切的期待。”负责标准开发的工作组会议召集人特德·汉弗莱说,“它是一个所有有安全意识的组织期望实施的标准。”
该标准被计划供各种规模的企业和广泛范围的商业和工业部门使用,因而详细说明了建立、检查和监视、管理和维持一个有效的安全管理体系的总体框架,标准的开发者说,该标准将使消费者和供应商放心,信息安全在它们与之合作的组织被认真地对待了,因为它们在适当的位置安置了工艺级的程序来处理信息安全威胁的问题了。
新的标准与最近修订的ISO/IEC 17799:信息技术-安全方法-信息安全管理应用规范形成了互补的一对,后者描述了可以作为ISO/IEC 27001所描述的安全管理体系的一部分使用的单个的安全控制,新版本的ISO/IEC 17799涉及了最广泛意义上的安全信息,为任何组织实施、维持和管理信息安全,以任何形式生产和使用信息,提供了最好的商业操作、指南和一般原则。
自愿寻求对其信息安全管理体系进行认证的组织可以使用ISO/IEC 27001。