歡迎訪問本站(zhàn)!

熱門(mén)關鍵字:
Product classification 産品分類

聯系我們

咨詢熱線18831187358

河北盛千企業管理咨詢有限公司

聯系人:史先生

電話(huà):18831187358(電話(huà)及微信)

地址:河(hé)北省石家莊市中華南大(dà)街473号

聯系我們
當前位置:首頁 》體系類認證

ISO 27000 信息安全管理(lǐ)體系(ISMS)認證

發布日期:2020-11-16 10:07:58
ISO 27000 信息安全管理(lǐ)體系(ISMS)認證

ISO 27000信息安 全管理(lǐ)體系(ISMS)

咨詢電話(huà):史先生188 3118 7358

目錄

1、項目簡介

2、信息安 全管理(lǐ)體系認證業務範圍

3、建立ISO27000 信息安 全管理(lǐ)體系的步驟 

一、項目簡介

信息安 全管理(lǐ)實用(yòng)規則ISO/IEC27001的前身爲英國的BS7799标準,該标準由英國标準協會(huì)(BSI)于1995年2月提出,并于1995年5月修訂而成的。1999年BSI重新修改了(le)該标準

BS7799分爲兩個部分:

BS7799-1,信息安 全管理(lǐ)實施規則、  BS7799-2,信息安 全管理(lǐ)體系規範。

第 一部分:對(duì)信息安 全管理(lǐ)給出建議(yì),供負責在其組織啓動、實施或維護安 全的人員使用(yòng)

*部分:說明(míng)了(le)建立、實施和(hé)文(wén)件化信息安 全管理(lǐ)體系(ISMS)的要求,規定了(le)根據獨立組織的需要應實施安 全控制的要求。

建立健全信息安 全管理(lǐ)體系對(duì)企業的安 全管理(lǐ)工(gōng)作(zuò)和(hé)企業的發展意義重大(dà)。首先,此體系的建立将提高(gāo)員工(gōng)信息安 全意識,提升企業信息安 全管理(lǐ)的水(shuǐ)平,增強組織抵禦災難性事(shì)件的能(néng)力,是企業信息化建設中的重要環節,必将大(dà)大(dà)提高(gāo)信息管理(lǐ)工(gōng)作(zuò)的安 全性和(hé)可靠性,使其更好(hǎo)地服務于企業的業務發展。其次,通過信息安 全管理(lǐ)體系的建設,可有效提高(gāo)對(duì)信息安 全風(fēng)險的管控能(néng)力,通過與等級保護、風(fēng)險評估等工(gōng)作(zuò)接續起來(lái),使得信息安 全管理(lǐ)更加科學有效。後,信息安 全管理(lǐ)體系的建立将使得企業的管理(lǐ)水(shuǐ)平與國際先進水(shuǐ)平接軌,從(cóng)而成長爲企業向國際化發展與合作(zuò)的有力支撐。 

二、信息安 全管理(lǐ)體系認證業務範圍 

認證用(yòng)标準: GB/T 22080

image.png

image.png

注:分類依據《CNAS-SC170》

三、建立ISO27000 信息安 全管理(lǐ)體系的步驟

1、信息安 全管理(lǐ)體系策劃和(hé)準備

策劃和(hé)準備階段主要是做好(hǎo)建立信息安 全管理(lǐ)體系的各種前期工(gōng)作(zuò)。内容包括教育培訓、拟定計(jì)劃、安 全管理(lǐ)發展情況調研,以及相關資源的配置與管理(lǐ)。

2、确定信息安 全管理(lǐ)體系适用(yòng)的範圍

信息安 全管理(lǐ)體系的範圍*是需要*進行管理(lǐ)的安 全領域。組織需要根據自(zì)己的實際情況,可以在整個組織範圍内、也(yě)可以在個别重要部門(mén)或領域内實施。 在本階段的工(gōng)作(zuò),應将組織劃分成不同的信息安 全控制領域,這(zhè)樣做易于組織對(duì)有不同需求的領域進行适當的信息安 全管理(lǐ)。在定義适用(yòng)範圍時(shí),應*考慮組織的 适用(yòng)環境、适用(yòng)人員、現(xiàn)有信息系統、現(xiàn)有信息資産及它們之間相互關系等。

3、現(xiàn)狀調查與風(fēng)險評估

依據有關信息安 全技術與管理(lǐ)标準,對(duì)信息系統及由其生成、處理(lǐ)、傳輸和(hé)存儲的信息的機密性、完整性和(hé)可用(yòng)性等安 全屬性進行調研和(hé)評價,以及評估信息資産面臨的威脅以及導緻安 全事(shì)件發生的可能(néng)性,并結合安 全事(shì)件所涉及的信息資産價值來(lái)判斷安 全事(shì)件一旦發生對(duì)組織造成的影響。

4、建立信息安 全管理(lǐ)框架

建立信息安 全管理(lǐ)體系要規劃和(hé)建立一個合理(lǐ)的信息安 全管理(lǐ)框架,要從(cóng)整體和(hé)全局的視(shì)角,從(cóng)信息系統的所有層面進行整體安 全建設,從(cóng)信息系統本身出 發,根據業務性質、組織特征、信息資産狀況和(hé)技術條件,建立信息資産清單,進行風(fēng)險分析、需求分析和(hé)選擇安 全控制,準備适用(yòng)性聲明(míng)等步驟,從(cóng)而建立安 全體 系并提出安 全解決方案 。

5、信息安 全管理(lǐ)文(wén)件體系編寫

建立并保持一個文(wén)件化的信息安 全管理(lǐ)體系是ISO/IEC27001:2005标準的總體要求,編寫信息安 全管理(lǐ)體系文(wén)件是建立信息安 全管理(lǐ)體系的 基礎工(gōng)作(zuò),也(yě)是一個組織實現(xiàn)風(fēng)險控制、評價和(hé)改進信息安 全管理(lǐ)體系、實現(xiàn)持續改進不可少的依據。在信息安 全管理(lǐ)體系建立的文(wén)件中應該包含有:安 全方針文(wén) 檔、适用(yòng)範圍文(wén)檔、風(fēng)險評估文(wén)檔、實施與控制文(wén)檔、适用(yòng)性聲明(míng)文(wén)檔。

6、信息安 全管理(lǐ)體系的運行與改進

信息安 全管理(lǐ)體系文(wén)件編制完成以後,組織應按照文(wén)件的控制要求進行審核與批準并發布實施,*此,信息安 全管理(lǐ)體系将進入運行階段。在此期間,組織應 加強運作(zuò)力度,充分發揮體系本身的各項功能(néng),及時(shí)發現(xiàn)體系策劃中存在的問題,找出問題根源,采取糾正措施,并按照更改控制程序要求對(duì)體系予以更改,以達到(dào) 進一步完善信息安 全管理(lǐ)體系的目的。

7、信息安 全管理(lǐ)體系審核

體系審核是爲獲得審核證據,對(duì)體系進行客觀的評價,以确定滿足審核準則的程度所進行的系統的、獨立的并形成文(wén)件的檢查過程。體系審核包括内部審核和(hé) 外(wài)部審核(第三方審核)。内部審核一般以組織名義進行,可作(zuò)爲組織自(zì)我合格檢查的基礎;外(wài)部審核由外(wài)部獨立的組織進行,可以提供符合要求(如 ISO/IEC27001)的認證或注冊。

信息安 全管理(lǐ)體系的建立是一個目标疊加的過程,是在不斷發展變化的技術環境中進行的,是一個動态的、閉環的風(fēng)險管理(lǐ)過程,要想獲得有效的成果,需要 從(cóng)評估、防護、監督、響應和(hé)恢複,這(zhè)些(xiē)都需要從(cóng)上(shàng)到(dào)下(xià)的參與和(hé)重視(shì),否則隻能(néng)是流于形式與過程,起不到(dào)真正有效的安 全控制的目的和(hé)作(zuò)用(yòng)。   

版權所有@河北盛千企業管理咨詢有限公司保留一切權利