ISO27001信息安全管理系统标准

　在日趋网络化的世界里，「信息」对建立竞争优势起着举足轻重的作用。但它同时也是柄双刃剑，当信息被意外或刻意的传给恶意的接收者时，同样的信息也可能导致一所机构倒闭。在当今的信息时代，科技无疑为我们解决了不少问题。
　　 国际标准***(ISO)应此类需求，制定了ISO27001:2005标准，为如何建立、推行、维持及改善信息安全管理系统提供帮助。信息安全管理系统(I***S)是高层管理人员用以监察及控制信息安全、减少商业风险和确保保安系统持续符合企业、客户及***要求的一个体系。ISO/IEC 27001:2005 能协助机构保护专利信息，同时也为制定统一的机构保安标准搭建了一个平台，更有助于提升安全管理的实务表现和增强机构间商业往来的信心与信任。
　　 什么机构可采用 ISO/IEC 27001:2005 标准？
　　 任何使用内部或外部电脑系统、拥有***资料及/或依靠信息系统进行商业活动地机构，均可采用 ISO/IEC 27001:2005标准。简单的说，也就是那些需要处理信息、并认识到信息保护重要性的机构。
　　 ISO/IEC 27001 的控制目标及措施
　　 ISO/IEC 27001制定的宗旨是确保机构信息的***性、完整性及可用性，为达成上述宗旨，该标准共提出了39个控制目标及134项控制措施，推行ISO/IEC 27001标准的机构可在其中选择适用于其业务的控制措施，同时也可增加其他的控制措施。而与ISO/IEC 27001相辅的 ISO 17799:2005 标准是信息安全管理的实务守则，为如何推行控制措施提供指引。
　　 ISO/ IEC 27001:2005 的架构
　　 ISO/ IEC 27001:2005 标准在 2005 年 10 月公布，同时取缔了多国采纳的英国标准BS 7799-2:2002 ，但新旧标准的要求并无太大分别。ISO / IEC 27001:2005 标准以 Edward Deming 博士提出的“计划-实施-核查-采取行动”循环周期作为制定蓝图，以实现持续改善的目标。