ISO27001与ISO27701的区别

dqs123

想问一下各位大侠，在信息安全体系方面，ISO27001与ISO27701有什么区别？
因为我司将要准备进行信息安全体系的认证，想让大家给一些建议和意见，感谢！

GTS

ISO27001和ISO27701是信息安全管理相关的国际标准，以下是它们之间的主要区别：

1. 目的不同：ISO 27001标准主要关注信息安全管理体系(ISMS)的建立、实施、监控、评审、改进等方面；而ISO 27701标准则重点关注个人信息管理体系(PIMS)的要求和实施，是ISMS的扩展和补充；

2. 覆盖面不同：ISO 27001标准覆盖广泛，涵盖信息安全管理的各个方面，包括信息资产管理、物理安全、网络安全、业务持续性管理、应急响应等；而ISO 27701标准则聚焦于个人信息管理，并关注相关的法律法规和隐私保护等内容；

3. 要求不同：ISO 27001标准要求企业需要进行风险评估、资产管理、控制措施、内部审核、管理评审等方面的工作，以确保信息安全的有效性；而ISO 27701标准要求企业需要针对个人信息管理体系进行加强，包括明确责任、采取合适的技术措施和管理措施、采用风险管理方法等；

4. 适用范围不同：ISO 27001标准适用于任何类型和规模的组织，可适用于公共部门和私营企业；而ISO27701标准主要适用于个人信息处理者，如互联网公司、电子商务平台等。

综上所述，ISO27001和ISO27701虽然都是信息安全管理相关的国际标准，但重点和要求有所不同，应根据实际情况选择合适的标准进行实施。

GTS

进行信息安全管理体系(ISMS)的认证需要遵循以下标准和流程：

1. 标准：国际上最常用的信息安全管理体系标准是ISO 27001，该标准规定了ISMS的要求和实施方法。

2. 流程：
（1）制定ISMS：组织应根据ISO 27001标准要求，制定ISMS，包括风险评估、安全政策、安全目标和控制措施等。
（2）内部审核：对ISMS进行内部审核，以确保符合ISO 27001标准要求，并进行改进。
（3）申请认证：找到权威的认证机构，向其申请ISMS认证，并提交相关材料。
（4）资料审核：认证机构对申请资料进行审核，包括文件、记录、风险评估报告等。
（5）现场审核：认证机构派人进行现场审核，对企业的ISMS进行审核。
（6）发放认证：如果企业的ISMS符合ISO 27001标准要求，则认证机构会颁发ISO 27001认证证书。

3. 注意事项：
（1）了解和遵守ISO 27001标准要求，在确保信息安全的同时满足ISO 27001标准要求。
（2）做好ISO 27001标准的培训和推广工作，让员工了解和认识到信息安全的重要性。
（3）对ISMS进行持续改进，不断完善安全控制措施，保证ISMS的有效性。
（4）选择正规的认证机构进行认证，确保认证结果的可信度和权威性。
（5）在整个认证过程中，要与认证机构保持紧密联系，尽可能提供准确详尽的信息，以便顺利通过认证。

总之，进行信息安全管理体系的认证需要遵守ISO 27001标准和相关流程，并注意在实际操作中做好持续改进、培训推广等工作。

wenzhu712

学习了。

dqs123

GTS 发表于 2023-5-5 22:14
ISO27001和ISO27701是信息安全管理相关的国际标准，以下是它们之间的主要区别：

1. 目的不同：ISO 27001标 ...

学习了，非常感谢！

dqs123

GTS 发表于 2023-5-5 22:27
进行信息安全管理体系(ISMS)的认证需要遵循以下标准和流程：

1. 标准：国际上最常用的信息安全管理体系标 ...

感谢！