私人影院_成都私人电影院_啵啵影院_啵啵影院宅男福利大片免费观看-APP破解版安裝_Page3852

您當前位置:項目申報 > 企業認證 >

ISO27001信息安全管理體係認證

閱讀次數:

ISO27001信息安全管理體係認證

  ISO27001簡介

  
  信息安全管理實用規則ISO/IEC27001的前身為英國的BS7799標準,該標準由英國標準協會(BSI)於1995年2月提出,並於1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分:BS7799-1,信息安全管理實施規則 BS7799-2,信息安全管理體係規範。第一部分對信息安全管理給出建議,供負責在其組織啟動、實施或維護安全的人員使用;第二部分說明了建立、實施和文件化信息安全管理體係(ISMS)的要求,規定了根據獨立組織的需要應實施安全控製的要求。
  
  ISO/IEC27001:2005標準在2005年10月公布,同時取締了多國采納的英國標準BS7799-2:2002,ISO/IEC27001:2005 標準以Edward Deming博士提出的;計劃-實施-核查-采取行動;循環周期作為製定藍圖,以實現持續改善的目標。ISO/IEC 27001:2005 標準為所有行業的機構都提供了一套業務工具,協助其避免信息保安的失誤,從而降低了相應的風險。正式推行ISO/IEC27001:2005 並取得有關認證的機構將受益匪淺。
  
  ISO27001谘詢流程的幾個階段:
  
  第一階段:現狀調研
  
  從日常運維、管理機製、係統配置等方麵對貴公司信息安全管理安全現狀進行調研,通過培訓使貴公司相關人員全麵了解信息安全管理的基本知識。包括:
  
  項目啟動:前期溝通,實施計劃,項目小組,資源支持,啟動會議。
  
  前期培訓:信息安全管理基礎,風險評估方法。
  
  現狀評估:初步了解信息安全現狀,分析與標準要求的差距。
  
  業務分析:訪談調查,核心與支持業務,業務對資源的需求,業務影響分析。
  
  第二階段:風險評估
  
  對貴公司信息資產進行資產價值、威脅因素、脆弱性分析,從而評估貴公司信息安全風險,選擇適當的措施、方法實現管理風險的目的。
  
  資產識別:識別貴公司的各種信息資產。
  
  風險評估:重要資產、威脅、弱點、風險識別與評估。
  
  第三階段:管理策劃
  
  根據貴公司對信息安全風險的策略,製定相應的信息安全整體規劃、管理規劃、技術規劃等,形成完整的信息安全管理係統。
  
  文件編寫:編寫各級管理文件,進行Review及修訂,管理層討論確認。
  
  發布實施:ISMS實施計劃,體係文件發布,控製措施實施。
  
  中期培訓:全員安全意識培訓,ISMS實施推廣培訓,必要的考核
  
  第四階段:體係實施
  
  ISMS建立起來(體係文件正式發布實施)之後,要通過一定時間的試運行來檢驗其有效性和穩定性。
  
  認證申請:與認證機構磋商,準備材料申請認證,製定認證計劃,預審核。
  
  後期培訓:審核員等角色的專業技能培訓。
  
  內部審核:審核計劃,Checklist,內部審核,不符合項整改。
  
  管理評審:信息安全管理委員會組織ISMS整體評審,糾正預防。
  
  第五階段:認證審核
  
  經過一定時間運行,ISMS達到一個穩定的狀態,各項文檔和記錄已經建立完備,此時,可以提請進行認證。
  
  認證準備:準備送審文件,安排部署審核事項。
  
  協助認證:內部審核小組陪同協助,應對審核問題。
  
  
  為什麽需要信息安全?
  
  ◆信息及信息安全
  
  信息像其他重要的商務資產一樣,也是一種資產,對一個組織而言具有價值,因而需要被妥善保護。信息安全使信息避免一係列威脅,保障了組織商務的連續性,最大限度地減小組織的商務損失,順利獲取投資和商務回報。信息可以以多種形式存在。它可以是打印或寫在紙上(如:書麵的財務報表等);電子形式存貯(如:一個組織ERP係統的備份磁帶);通過郵件或用電子手段傳輸;顯示在膠片上;表達在會話中。不論信息采用什麽方式或采取什麽手段共享和存貯,因為它有價值,應該得到妥善的保護。
  
  信息安全主要體現在以下三個方麵:
  
  一是保密性。保密性是指確保信息資料,特別是重要的信息資料,不流失,不被非本部門人員非法盜用。比如銀行的儲戶信息,醫院的病人就醫資料,政府機關、安全部門的機密文件,企業的客戶資料、商務信息、專利、專有技術資料等等,應該給誰看,不應該給誰看,什麽級別/部門的人員可以看什麽密別的信息資料,如何儲存保管,都應製定具體的措施、規範,以防止因信息流失而造成不良影響和重大經濟損失。
  
  二是完整性。所謂信息資料的完整性,是指信息資料不丟失、不少缺。比如采取一定的措施防止存貯在電腦中的磁盤文件不因操作不當或病毒的侵襲而導致文件的殘缺或丟失。再如防止存貯的打印文件因黴變、蟲蛀而殘缺、損壞,防止水災、火災、???而毀損文件和資料等。
  
  三是可用性。可用性是指當需要某一信息資料時,可馬上拿得到。比如采取一定的措施,防止因某一資料員不在場或其它例外情況下,因為拿不到所需的資料而導致停工或錯失商機等。
  
  ISO 27001標準把信息資料看作是公司的資產,其對公司的生存與發展起著關鍵作用,尤其是在知識經濟和電子信息時代,確保信息安全更是非常有必要的。英國曾做過一項統計,80%的信息資料的損失是與人為因素有關的。所以防止人為因素造成的信息風險被作為信息安全的主要控製對象。
  
  ISO 27001信息安全管理體係一個重要的方麵是對信息風險的分析與管理。信息風險涉及可能造成信息損失的方方麵麵。比如電腦病毒有導致信息資料丟失或損壞的危險,可規定定期進行電腦病毒的檢查;外來人員進入本公司,有導致信息資料失竊的危險,可規定采用門口設密碼、電子卡等方式進入公司;更新電腦軟件有導致信息資料無法讀取的風險,可規定在進行電腦軟件的更新時對電腦軟件的兼容性進行評估;聘請外公司人員為本公司工作,本公司信息資料有流失的危險,在這種情況下須與外公司人員簽訂保密協議;在審核磁盤資料時,有可能導致磁盤文件被更改,可設置程序保證審核人員使用隻可讀不可改的文件或備份文件;以及防止內部人員和工業???的竊取,拷貝的軟盤與電腦分別存放於不同的房間,作廢的文件資料監視銷毀等。
  
  信息安全是通過執行一套適當的控製來達到的。可以是方針、慣例、程序、組織結構和軟件功能來實現,這些控製方式需要確定,才能保障組織特定的安全目標的實現。
  
  ◆ 信息安全的重要性
  
  信息及其支持過程的係統和網絡都是組織的重要資產。信息的機密性、完整性和可用性對保持一個組織的競爭優勢、資金流動、效益、法律符合性和商務形象都是至關重要的。
  
  任何組織及其信息係統(如一個組織的ERP係統)和網絡都可能麵臨著包括計算機輔助欺詐、刺探、陰謀破壞行為、火災、水災等大範圍的安全威脅。隨著計算機的日益發展和普及,計算機病毒、計算機???、服務器的非法入侵破壞已變得日益普遍和錯綜複雜。
  
  目前一些組織,特別是一些較大型公司的業務已經完全依賴信息係統進行生產業務管理,這意味著組織更易受到安全威脅的破壞。組織內網絡的互連及信息資源的共享增大了實現訪問控製的難度。
  
  有些組織的信息係統盡管在設計時可能已考慮了安全,但僅僅依靠技術手段實現安全仍然是有限的,還應當通過管理和程序來支持。
  
  ◆ 建立信息安全管理體係(ISMS)對任何組織都具有重要意義
  
  任何組織,不論它在信息技術方麵如何努力以及采納如何新的信息安全技術,實際上在信息安全管理
  
  方麵都還存在漏洞,例如:
  
  1. 缺少信息安全管理論壇,安全導向不明確,管理支持不明顯;
  
  2. 缺少跨部門的信息安全協調機製;
  
  3. 保護特定資產以及完成特定安全過程的職責還不明確;
  
  4. 雇員信息安全意識薄弱,缺少防範意識,外來人員很容易直接進入生產和工作場所;
  
  5. 組織信息係統管理製度不夠健全;
  
  6. 組織信息係統主機房安全存在隱患,如:防火設施存在問題,與危險品倉庫同處一幢辦公樓等;
  
  7. 組織信息係統備份設備仍有欠缺;
  
  8. 組織信息係統安全防範技術投入欠缺;
  
  9. 軟件知識產權保護欠缺;
  
  10. 計算機房、辦公場所等物理防範措施欠缺;
  
  11. 檔案、記錄等缺少可靠貯存場所;
  
  12. 缺少一旦發生意外時的保證生產經營連續性的措施和計劃;.等等
  
  通過以上信息管理方麵的漏洞以及經常見諸報端的種種信息安全事件表明,任何組織都急需建立信息安全管理體係,以保障其技術和商業機密,保障信息的完整性和可用性,最終保持其生產、經營活動的連續性。
  
  ◆ 建立信息安全管理體係的意義
  
  組織可以參照信息安全管理模型,按照先進的信息安全管理標準ISO 27001標準建立組織完整的信息安全管理體係並實施與保持,達到動態的、係統的、全員參與、製度化的、以預防為主的信息安全管理方式,用最低的成本,使信息風險的發生概率和結果降低到可接受水平,並采取措施保證業務不會因風險的發生而中斷。組織建立、實施與保持信息安全管理體係將會:
  
  *強化員工的信息安全意識,規範組織信息安全行為;
  
  * 對組織的關鍵信息資產進行全麵係統的保護,維持競爭優勢;
  
  * 在信息係統受到侵襲時,確保業務持續開展並將損失降到最低程度;
  
  * 使組織的生意夥伴和客戶對組織充滿信心;
  
  公司做ISO27001的好處
  
  引入信息安全管理體係就可以協調各個方麵信息管理,從而使管理更為有效。保證信息安全不是僅有一個防火牆,或找一個24小時提供信息安全服務的公司就可以達到的。它需要全麵的綜合管理。
  
  通過進行ISO27001信息安全管理體係認證,可以增進組織間電子電子商務往來的信用度,能夠建立起網站和貿易夥伴之間的互相信任,隨著組織間的電子交流的增加通過信息安全管理的記錄可以看到信息安全管理明顯的利益,並為廣大用戶和服務提供商提供一個基礎的設備管理。同時,把組織的幹擾因素降到最小,創造更大收益。
  
  通過認證能保證和證明組織所有的部門對信息安全的承諾。
  
  通過認證可改善全體的業績、消除不信任感。
  
  獲得國際認可的機構的認證證書,可得到國際上的承認,拓展您的業務。
  
  建立信息安全管理體係能降低這種風險,通過第三方的認證能增強投資者及其他利益相關方的投資信心。
  
  組織按照ISO27001標準建立信息安全管理體係,會有一定的投入,但是若能通過認證機關的審核,獲得認證,將會獲得有價值的回報。企業通過認證將可以向其客戶、競爭對手、供應商、員工和投資方展示其在同行內的領導地位;定期的監督審核將確保組織的信息係統不斷地被監督和改善,並以此作為增強信息安全性的依據,信任、信用及信心,使客戶及利益相關方感受到組織對信息安全的承諾。
  
  通過認證能夠向政府及行業主管部門證明組織對相關法律法規的符合性。


 

認證體係服務申請表單{為了能為您提供更好的服務,請認真填寫以下信息,便於私人影院及時聯係您!}

關鍵詞:ISO27001信息安全管理體係認證
上一篇:第一頁