IEC和ISO近日联合发布了一项新的国际标准ISO/IEC 27001《信息技术-安全方法-信息安全管理体系-要求》,该标准目的在于把提高安全性和保护信息的基于程序的管理体系标准结合起来。
该标准被计划供各种规模的企业和广泛范围的商业和工业部门使用,因而详细说明了建立、检查和监视、管理和维持一个有效的安全管理体系的总体框架,标准的开发者说,该标准将使消费者和供应商放心,信息安全在它们与之合作的组织被认真地对待了,因为它们在适当的位置安置了工艺级的程序来处理信息安全威胁的问题了。
新的标准与最近修订的ISO/IEC 17799《信息技术-安全方法-信息安全管理应用规范》形成了互补,后者可以作为ISO/IEC 27001中安全管理体系的一部分使用的单个的安全控制,新版本的ISO/IEC 17799涉及了最广泛意义上的安全信息,为任何组织实施、维持和管理信息安全,以任何形式生产和使用信息,提供了最好的商业操作、指南和一般原则。
自愿寻求对其信息安全管理体系进行认证的组织可以使用ISO/IEC 27001。
