随着信息技术的高速发展,各类组织对IT 系统的依赖也日益加重,信息技术几乎渗透到了世界各地和社会生活的方方面面。因此,对信息加以保护,防范信息的损坏和泄露,已成为当前组织迫切需要解决的问题。
国际标准化组织(ISO)和国际电工委员会(IEC)于2005年10月15日联合发布了国际标准ISO/IEC 27001《信息技术-安全技术-信息安全管理体系-要求》,旨在为所有类型的组织,包括政府、银行、电讯、研究机构、外包服务企业、软件服务企业等,在建立、实施、运行、监视、评审、保持和改进信息安全管理体系时提供模型,通过一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作,并规定了为适应不同组织或其部门的需要而制定安全控制措施的实施要求。ISO/IEC 27001标准涉及了最广泛意义上的信息安全,为组织实施、维护和管理信息安全提供了最好的商业操作指南和原则,并可以用作第三方认证的依据。2013年10月19日ISO/IEC 27001:2013版标准颁布实施。
通过CQC提供的信息安全管理体系认证,在证明组织内部运行了有效的信息安全管理体系的同时,还可以帮助组织:
a) 协调各个方面信息管理,从而使管理更为有效;
b) 使信息风险的发生概率和结果降低到可接受收水平,保持组织业务运作的持续性;
c) 利用信息技术为组织创造新的战略竞争机遇;
d) 保证和证明组织所有的部门对信息安全的承诺;
e) 向政府及行业主管部门证明组织对相关法律法规的符合性;
f) 通过遵守国际标准提高企业竞争能力,提升企业形象。