你是否已準備好打贏違反信息安全的戰役？ISO / IEC 27001標準應運而生

譯/王雯雯

你是否已準備好打贏違反信息安全的戰役？ISO / IEC 27001標準應運而生

譯/王雯雯

目前，信息安全管理體系標準ISO / IEC 27001炙手可熱。在當今世界，數字和網絡攻擊的復雜性愈發上升，標準的應用亟需推廣。事實上，根據今年早些時候英國發表的研究，因為信息安全漏洞而受影響英國企業數量和比例繼續增加。國際標準組織(ISO)應此類需求，制定了 ISO/IEC 27001標準，為如何建立、推行、維持及改善信息安全管理系統提供幫助。信息安全管理系統(ISMS)是高層管理人員用以監察及控制信息安全、減少商業風險和確保保安系統持續符合企業、客戶及法律要求的一個體系。ISO/IEC 27001:2005 能協助機構保護專利信息，同時也為制定統一的機構保安標準搭建了一個平臺，更有助于提升安全管理的實務表現和增強機構間商業往來的信心與信任。

本標準涵蓋了建立、實施、運行、監控、審查、維護和改善您的 ISMS 的過程方法。實施并通過ISO/IEC 27001認證將有助于保護信息資產，并能夠使所有利益相關方（尤其是公司客戶）放心。

小企業同樣面臨信息安全威脅

現實中，永遠不僅僅只有大型公司受到威脅。普華永道對英國商業部的研究表明，創新能力突出的小企業正在經歷信息安全保衛戰役。其慘烈程度，以往只能在大型組織中看到。隨著經濟的發展，87%的小企業遭受過或者正在遭受信息安全危機。

此外，報告認為，在日趨網絡化的世界里，“信息”對建立競爭優勢起著舉足輕重的作用。但它同時也是柄雙刃劍，當信息被意外或刻意的傳給惡意的接收者時，同樣的信息也可能導致一所機構倒閉。智能手機、平板電腦、社交網絡等等途徑，越來越影響到日常信息安全。負責標準開發和維護的工作人員愛德華表示，修訂后的標準（ISO / IEC 27001:2013）也必須反映這些新的變化。他稱：“我們通過改進安全控制附件序列，已經取得了初步成果。對于移動設備和其他網絡漏洞的相關風險以及被盜危機大大減小。”

與其他管理系統兼容性高

該標準的另一個重大變化是，現在的標準更加符合管理體系標準層次結構的需求。它適用于世界上任何地方任何部門任何規模的組織。任何使用內部或外部電腦系統、擁有機密資料及/或依靠信息系統進行商業活動地機構，均可采用 ISO/IEC 27001:2005標準。簡單的說，也就是那些需要處理信息、并認識到信息保護重要性的機構。

本標準尤其適用于信息安全問題對其至關重要的行業，如金融、衛生、公共和 IT 部門。此外，它也有利于審計師認證組織，在工作中同時使用多個這樣的標準。ISO/IEC 27001 對代表其它組織進行信息管理的組織也非常有效，如 IT 外包公司。采用該標準，可讓客戶確信其信息已受到保護。