目前,关于ISMS认证的标准ISO/IEC 27001是唯一的。我们讨论的ISMS不仅仅包括体系本身,而且包括ISMS的认证。
在ISO/IEC 27001:2005标准出现之前,组织只能按照BSI的BS 7799—2:2002标准进行认证。现在,组织可以获得全球认可的ISO/IEC 27001:2005标准的认证。这标志着ISMS的发展和认证已向前迈进了一大步:从英国认证认可迈进国际认证认可。ISMS的发展和认证进入一个重要的里程碑。这个新ISMS标准正成为最新的全球信息安全武器。
ISO/IEC 27001:2005标准是设计用于认证目的的。它可帮助组织建立和维护ISMS。如果认证机构对组织的ISMS进行审核(初审)后,认为符合ISO/IEC 27001:2005的要求,那么它就会颁发ISMS证书,声明该组织的ISMS符合:ISO/IEC27001:2005标准的要求。
然而,ISO/IEC 2700l:2005标准与ISO 9001:2002标准(质量管理体系标准)不同。ISO/IEC27001:2005标准的要求十分“严格”。该标准4~8章有许多信息安全管理要求。这些要求是“强制性要求”。只要有任何一条要求得不到满足,就不能声称该组织的ISMS符合ISO/IEC 27001:2005标准的要求。相比之下,ISO 9001:2002标准的第7章的某些要求(或条款),只要合理,可允许。(www.xing528.com)
其质量管理体系(QMS)做适当删减。因此,不管是第一方审核、第二方审核,还是第三方审核,评估组织的ISMS对ISO/IEC 27001:2005标准的符合性是十分严格的。
ISMS的认证在某种程度上来说是ISMS不可或缺的一部分,是ISMS应用活动的自然延伸和结果。R.Von Solms在Information Security Management:Why Standards Are lmportant这篇文章中曾经用一个很生动的例子来说明认证的重要性:任何在公路上行驶的汽车都需要有合法的证明来表明其安全手段等是具备的,驾驶员也需要驾照来证明他们学习了运用这些技术安全措施的手段来安全地运行汽车,此外,第三方机构,即交通主管部门,要持续地保证汽车功能的正常和驾驶员遵守公路的相关规定。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
