ISO/IEC27001(ISMS认证)是信息安全的国际标准之一,也被称为信息安全管理体系(ISMS)。这是一个国际统一的第三方信息安全管理符合性评估系统,除了个别的安全措施外,管理层还对组织本身进行风险评估,确定必要的安全级别,并以PDCA循环方式运行该系统。它通过识别组织的资产,确定它们所带来的风险,并实施减轻这些风险的措施来加强组织的安全。
ISMS认证关联图(利益相关者) ISMS所涵盖的组织资产范围包括信息资产、软件资产、实物资产、服务资产、人力资产、无形资产、销售知识等。它涵盖了信息技术中的隐私、保密和安全问题,并适用于所有规模和形式的组织。
ISMS(ISO/IEC 27001)并不要求将风险降低到零,但它确实要求管理层确定风险是否在组织可接受的限度内,如果风险超过这些限度,则采取措施将风险降低到可接受的水平,同时保持信息安全的三大要素:保密性、完整性和可用性(CIA)的平衡。(CIA),并管理这些措施的实施。