译/王雯雯

你是否已准备好打赢违反信息安全的战役？ISO / IEC 27001标准应运而生

译/王雯雯

目前，信息安全管理体系标准ISO / IEC 27001炙手可热。在当今世界，数字和网络攻击的复杂性愈发上升，标准的应用亟需推广。事实上，根据今年早些时候英国发表的研究，因为信息安全漏洞而受影响英国企业数量和比例继续增加。国际标准组织(ISO)应此类需求，制定了 ISO/IEC 27001标准，为如何建立、推行、维持及改善信息安全管理系统提供帮助。信息安全管理系统(ISMS)是高层管理人员用以监察及控制信息安全、减少商业风险和确保保安系统持续符合企业、客户及法律要求的一个体系。ISO/IEC 27001:2005 能协助机构保护专利信息，同时也为制定统一的机构保安标准搭建了一个平台，更有助于提升安全管理的实务表现和增强机构间商业往来的信心与信任。

本标准涵盖了建立、实施、运行、监控、审查、维护和改善您的 ISMS 的过程方法。实施并通过ISO/IEC 27001认证将有助于保护信息资产，并能够使所有利益相关方（尤其是公司客户）放心。

小企业同样面临信息安全威胁

现实中，永远不仅仅只有大型公司受到威胁。普华永道对英国商业部的研究表明，创新能力突出的小企业正在经历信息安全保卫战役。其惨烈程度，以往只能在大型组织中看到。随着经济的发展，87%的小企业遭受过或者正在遭受信息安全危机。

此外，报告认为，在日趋网络化的世界里，“信息”对建立竞争优势起着举足轻重的作用。但它同时也是柄双刃剑，当信息被意外或刻意的传给恶意的接收者时，同样的信息也可能导致一所机构倒闭。智能手机、平板电脑、社交网络等等途径，越来越影响到日常信息安全。负责标准开发和维护的工作人员爱德华表示，修订后的标准（ISO / IEC 27001:2013）也必须反映这些新的变化。他称：“我们通过改进安全控制附件序列，已经取得了初步成果。对于移动设备和其他网络漏洞的相关风险以及被盗危机大大减小。”

与其他管理系统兼容性高

该标准的另一个重大变化是，现在的标准更加符合管理体系标准层次结构的需求。它适用于世界上任何地方任何部门任何规模的组织。任何使用内部或外部电脑系统、拥有机密资料及/或依靠信息系统进行商业活动地机构，均可采用 ISO/IEC 27001:2005标准。简单的说，也就是那些需要处理信息、并认识到信息保护重要性的机构。

本标准尤其适用于信息安全问题对其至关重要的行业，如金融、卫生、公共和 IT 部门。此外，它也有利于审计师认证组织，在工作中同时使用多个这样的标准。ISO/IEC 27001 对代表其它组织进行信息管理的组织也非常有效，如 IT 外包公司。采用该标准，可让客户确信其信息已受到保护。