詳細介紹
如何實施ISO27001
ISO27001標準要求組織建立并保持一個文件化的信息安全管理體系,其中應闡述需要保護的資產、組織風險管理的渠道、控制目標及控制方式和需要的**程度。
不同的組織在建立與完善信息安全管理體系時,可根據自己的特點和具體情況,采取不同的步驟和方法。但總體來說,建立信息安全管理體系一般要經過下列四個基本步驟:信息安全管理體系的策劃與準備;信息安全管理體系文件的編制;信息安全管理體系運行;信息安全管理體系審核與評審。
如果考慮認證過程其詳細的步驟如下:
1、現場診斷;
2、確定信息安全管理體系的方針、目標;
3、明確信息安全管理體系的范圍,根據組織的特性、地理位置、資產和技術來確定界限;
4、對管理層進行信息安全管理體系基本知識培訓;
5、信息安全體系內部審核員培訓;
6、建立信息安全管理組織機構;
7、實施信息資產評估和分類,識別資產所受到的威脅、薄弱環節和對組織的影響,并確定風險程度;
8、根據組織的信息安全方針和需要的**程度通過風險評估來確定應實施管理的風險,確定風險控制手段;
9、制定信息安全管理手冊和各類必要的控制程序 ;
10、制定適用性聲明;
11、制定商業可持續性發展計劃;
12、審核文件、發布實施;
13、體系運行,有效的實施選定的控制目標和控制方式;
14、內部審核;
15、外部**階段認證審核;
16、外部階段認證審核;
17、頒發證書;
18、體系持續運行/年度監督審核;
19、復評審核(證書三年有效)。
至于應采取哪些控制方式則需要周密計劃,并注意控制細節。信息安全管理需要組織中的所有雇員的參與,比如為了防止組織外的第三方人員非法進入組織的辦公區域獲取組織的技術機密,除物理控制外,還需要組織全體人員參與,加強控制。此外還需要供應商,顧客或股東的參與,需要組織以外的專家建議。信息、信息處理過程及對信息起支持作用的信息系統和信息網絡都是重要的商務資產。信息的保密性、完整性和可用性對保持競爭優勢、資金流動、效益、法LV符合性和商業形象都是至關重要的。
當前,越來越多的組織及其信息系統和網絡面臨著包括計算機詐騙、間諜、蓄意破壞、火災、水災等大范圍的安全威脅,諸如計算機病毒、計算機入侵、DoS攻擊等手段造成的信息災難已變得更加普遍,有計劃而不易被察覺。組織對信息系統和信息服務的依賴意味著更易受到安全威脅的破壞,公共和私人網絡的互連及信息資源的共享增大了實現訪問控制的難度。
許多信息系統本身就不是按照安全系統的要求來設計的,所以僅依靠技術手段來實現信息安全有其局限性,所以信息安全的實現必須得到管理和程序控制的適當支持。確定應采取哪些控制方式則需要周密計劃,并注意細節。信息安全管理至少需要組織中的所有雇員的參與,此外還需要供應商、顧客或股東的參與和信息安全的專家建議。
信息安全技術是信息安全控制的重要手段,一些安全性要求高的信息系統的安全性必須借助于技術手段來實現,但單獨依靠技術手段實現安全的能力是有限的,而且安全技術應由適當的管理 和程序來支持,否則,安全技術發揮不了其應有的安全作用,或者當應用環境發生變化時,不做適當的技術調整,其安全作用會大打 折扣,甚至喪失。信息安全來自“三分技術,七分管理”,必須注重信息安全管理,而且信息安全管理需要組織所有員工 的參與,還需要供應商、客戶的參與,以及組織以外的專家建議。
如何保障信息安全?
信息安全管理是指導和控制組織的關于信息安全風險的相互協調的活動,關于信息安全風險的指導和控制活動通常包括制定信息安全方針、進行風險評估、確定控制目標、選擇控制方式、實施風險控制、獲得安全**等。信息安全管理實際上是風險管理的過程,管理的基礎是風險識別與評估。
系統的信息安全管理體現以下原則:
●制定信息安全方針為信息安全管理提供導向和支持;
●以風險評估為基礎選擇控制目標與控制方式;
●考慮控制費用與風險平衡的原則,將風險降低到組織可接受的水平;
●預防控制為主的思想;
●業務持續性原則,即從故障與災難中恢復業務運作,減少故障與災難對關 鍵業務過程的影響;
●動態管理原則,即對風險實施動態管理;
●全員參與的原則;
遵循管理的一般循環模式 ——Plan (策劃) -Do(執行)-Check(檢查)-Act(措施)的持續改進模式。
ISO / IEC 27001:2013 [ISO / IEC 27001:2013]
信息技術—安全技術—信息安全管理系統—要求
該標準的**審查日期為2019年。因此,此版本保持**。
摘要
ISO / IEC 27001:2013規定了在組織范圍內建立,實施,維護和持續改進信息安全管理系統的要求。它還包括根據組織需求評估和處理信息安全風險的要求。ISO / IEC 27001:2013中列出的要求是通用的,旨在適用于所有組織,無論類型,規模或性質如何。
標準的好處:
更好的業務,更好的監管,更好的產品和服務
ISO國際標準可幫助各種規模和部門的企業降低成本,提高生產率并開拓新市場。
對于中小型企業(SME),標準可以幫助:
建立客戶對您產品安全可靠的信心
符合法規要求,成本更低
降低業務各個方面的成本
獲得全球市場準入
標準使市場準入更加容易,特別是對于中小型企業而言。它們可以增強品牌度,并為客戶提供技術經過測試和可靠的**。
ISO/IEC 27001信息安全管理體系有哪些好處?
1.識別風險并采取適當的措施以管理或減少它們
2.靈活適應對所有或特定領域的業務控制
3.使利益相關者和客戶相信他們的數據是被保護的
4.證明合規性并成為**供應商
什么是ISO 27001?
標題為“信息安全管理-使用指南的規范”的ISO 27001替代了原始文檔BS7799-2。它旨在為第三方審核提供基礎,并與其他管理標準(例如ISO 9001和ISO 14001)“協調”。
該標準的基本目標是使用持續改進的方法來幫助建立和維護有效的信息管理系統。它執行OECD(經濟合作與發展組織)原則,管理信息和網絡系統的安全性。
您在信息安全管理體系認證中處于哪個階段?
無論您是剛開始了解ISO/IEC 27001,還是希望進一步加深您的知識,我們都有適合您的培訓和資源。我們提供可根據您公司具體情況進行定制的工具包,以啟動貴公司的信息安全管理工作無論您的起點如何,ISO/IEC 27001包都可將您實現目標的過程化繁為簡。
標準內容?
ISO 27001認證
與BS7799-2一樣,強大的審核和認證計劃也支持該標準。對于先前通過BS7799認證的企業,獲得認證的認證機構已制定了過渡安排。有關更多詳細信息和說明,請參見我們的特定認證頁面(請參見左側面板)
ISO 27000系列
ISO 27001的**終版本于2005年10月發布,廣受好評。但是,應該指出的是,這實際上只是支持信息安全的一系列標準中的**個。這么說,至少從“自上而下”的角度來看,它可能是**重要的,因為它定義了信息安全管理系統。
該標準本身和/或支持文檔可以從我們下載頁面上確定的任何供應商處獲得。
無論您是消費者還是企業,都可以成為下一代標準的一部分。
參與可以使您盡早獲得行業信息,使您的公司在標準制定過程中有發言權,并有助于保持市場準入的開放性。
1)ISO 27001何時發布?
在2005年10月,盡管**終版本已在此之前幾個月發布。
2)是否與ISO 27002/17799有關?
是。它本質上描述了如何應用ISO 27002中定義的控件,當然還包括如何構建和維護ISMS。
ISO27001共分成11個主題,39個控制目標,133個控制措施。
11 個主題包括:
一 Security Policy(安全政策)
二 Organization of information security(組織信息安全)
三 Asset management(資產管理)
四 Human resources security(人力資源安全)
五 Physical and environmental security(實體與環境安全)
六 munications and operations management(通信和操作管理)
七 Aess control(訪問控制)
八 Information systems acquisition,development and maintenance(信息系統獲取、開發與維護)
九 Information security incident management(信息安全事故管理)
十 Business continuity management(業務持續性管理)
十一 pliance(符合性)信息安全管理體系建置方案ISO27001所規范的『計劃-執行-檢查-行動』(PDCA,Plan-Do-Check-Act)發展模式及流程來建置信息安全管理體系(ISMS),本公司將遵循此精神將咨詢顧問分成四大階段:
一 項目啟動
1 現況了解
2 進行差異性分析
3 提供ISMS推動相關計劃
4 ISMS **階段培訓
二 風險評估與管理
1 資產清點
2 風險評估與報告產出
3 風險處理與管理審查
三 ISMS文件修訂與實施
1 四級文件制定及實施
2 ISMS階段培訓
3 營運持續演練
4 內部審核與管理審查
四 預評與認證
1 ISMS預評及協助不符合項改善
2 ISMS正式認證(分為**階段文審及階段現場審核)
3 協助認證各階段不符事項進行改善
4 取得建議發證報告及ISO27001證書
5 協助擬定ISMS 維運計劃
ISO27001體系認證適用范圍和需要提供的資料
一、體系標準適用范圍
ISO/IEC 27001標準適用于所有類型的組織(例如,商業企業、政FU機構、非贏利組織)。ISO/IEC 27001從組織的整體業務風險的角度,為建立、實施、運行、監視、評審、保持和改進文件化的ISMS規定了要求。它規定了為適應不同組織或其部門的需要而定制的安全控制措施的實施要求。
二、組織所需提供的資料
1.法LV地位證明文件(如企業法人營業執照、事業單位法人代碼證書、社團法人登記證等),組織機構代碼證書;
2.有效的資質證明、產品生產許可證強制性產品認證證書等(需要時)
3.組織簡介(產品及與產品/服務有關的技術標準、強制性標準、使用設備、人員情況等)
4.申請認證產品的生產、加工或服務工藝流程圖;
5.服務場所、多場所需提供清單;
6.管理手冊、程序文件及組織機構圖;
7.服務器數量以及終端數量;
8.服務計劃、服務報告、容量計劃
聯系方式
|
