1.ISO27001概述。
ISO27001描述了如何建立、維護(hù)和持續(xù)改進(jìn)ISMS。ISO27001是最流行、最常用的信息安全標(biāo)準(zhǔn)之一。許多組織已經(jīng)認(rèn)證了它，目的是向客戶(hù)、業(yè)務(wù)伙伴和監(jiān)管機(jī)構(gòu)展示足夠的安全性。最新版本的ISO27001標(biāo)準(zhǔn)于2013年發(fā)布(ISO/IEC27001:2013)。

符合ISO27001要求的組織，在成功完成對(duì)標(biāo)準(zhǔn)的審查后，通過(guò)ISO27001認(rèn)證的認(rèn)證機(jī)構(gòu)可以進(jìn)行ISO27001認(rèn)證。據(jù)ISO數(shù)據(jù)顯示，2016年，全球有33,000多個(gè)組織持有ISO27001認(rèn)證。

ISMS是組織管理和保護(hù)信息機(jī)密性、完整性和可用性的系統(tǒng)方法。具體來(lái)說(shuō)，ISMS包括政策、程序、準(zhǔn)則、資源、活動(dòng)和控制來(lái)實(shí)現(xiàn)這一目標(biāo)。

例如，如果隱私團(tuán)隊(duì)的目標(biāo)是實(shí)施設(shè)計(jì)中的隱私(將隱私主動(dòng)嵌入信息技術(shù)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和業(yè)務(wù)實(shí)踐的設(shè)計(jì)規(guī)范中)，那么ISMS團(tuán)隊(duì)的目標(biāo)將是實(shí)現(xiàn)相同的目標(biāo)，但它是安全的，即實(shí)施設(shè)計(jì)安全。

然后，有效的ISMS自然需要熟練的決策、文本政策和程序、意識(shí)培訓(xùn)、明確的職責(zé)和資產(chǎn)所有權(quán)、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃、事件響應(yīng)、供應(yīng)商管理、內(nèi)部審計(jì)等。