信息安全管理体系ISOIEC27000标准系列概论 .pdfVIP

信息安全管理体系

ISO/IEC27000标准系列概论

什么是ISO/IEC27001？机构是否遵行ISO/IEC27001标准所定的

ISO/IEC27001标准的名称为《信息技术要求，可由认可认证机构进行正式评估和认

—安全技术—信息安全管理体系—证。若机构的信息安全管理体系获取

要求》，由国际标准化组织（ISO）及国际ISO/IEC27001标准的认证，显示机构致力

电工委员会（IEC）出版。ISO/IEC保护信息安全，又可增加客户、合伙人及持

27001:2013（下称ISO/IEC27001）为最份者的信心。

新版本的ISO/IEC27001标准，修订了

2005年出版的上一个版本（即ISO/IECISO/IEC27001认证要求

27001:2005）。本标准订明有关建立、推为符合ISO/IEC27001认证要求，机构的

行、维护和持续改进信息安全管理体系的各信息安全管理体系必须由国际认可的认证

项要求。信息安全管理体系阐述保护敏感信机构进行审计。ISO/IEC27001第4节至

息安全的系统化方式，通过应用风险管理流10节所载的要求（见附录A）是强制性要

程管理人事、工序及信息技术系统。这套系求，并没有豁免情况。若机构的信息安全管

统不仅适用于大型机构，中小型企业也会合理体系通过正式审计，便会获认证机构颁发

用。ISO/IEC27001证书。证书的有效期为三

年，期满后，机构需要重新为其信息安全管

ISO/IEC27001可以与相关支援控制措施理体系进行认证。

配合使用，例如载列于ISO/IEC

27002:2013（下称ISO/IEC27002）文件在三年有效期内，机构必须执行证书维护，

的控制措施。ISO/IEC27002分为14节及以确保信息安全管理体系持续遵行有关要

35个控制目标，详述114项安全控制措施。求，按规定运行和不断改进。为了保持证书

有关ISO/IEC27001及ISO/IEC27002的有效，认证机构会每年至少一次就信息安全

目录载于附录A。管理体系进行实地视察，以进行监察审计。

在审计过程中，认证机构只会对部分信息安

全管理体系作出审计。当三年有效期临近届

满时，认证机构才会对整个信息安全管理体

系作出审计。

政府资讯科技总监办公室于二零一五年四月出版（最后更新二零一九年五月）