Information Security Management Systems
信息安全管理(lǐ)體系标準(ISO27001)可(kě)有效保護信息資源,保護信息化(huà)進程健康、有序、可(kě)持續發展。ISO27001是信息安全領域的(de)管理(lǐ)體系标準,類似于質量管理(lǐ)體系認證咨詢的(de) ISO9000标準。當您的(de)組織通(tōng)過了(le)ISO27001的(de)認證,就相當于通(tōng)過ISO9000的(de)質量認證一般,表示您的(de)組織信息安全管理(lǐ)已建立了(le)一套科學有效的(de)管理(lǐ)體系作爲保障。根據 ISO27001 對(duì)您的(de)信息安全管理(lǐ)體系進行認證,可(kě)以帶來(lái)以下(xià)幾個(gè)好處:
引入信息安全管理(lǐ)體系就可(kě)以協調各個(gè)方面信息管理(lǐ),從而使管理(lǐ)更爲有效。保證信息安全不是僅有一個(gè)防火牆,或找一個(gè)24小時(shí)提供信息安全服務的(de)公司就可(kě)以達到的(de)。它需要全面的(de)綜合管理(lǐ)。
A通(tōng)過進行ISO27001信息安全管理(lǐ)體系認證咨詢,可(kě)以增進組織間電子電子商務往來(lái)的(de)信用(yòng)度,能夠建立起網站和(hé)貿易夥伴之間的(de)互相信任,随著(zhe)組織間的(de)電子交流的(de)增加通(tōng)過信息安全管理(lǐ)的(de)記錄可(kě)以看到信息安全管理(lǐ)明(míng)顯的(de)利益,并爲廣大(dà)用(yòng)戶和(hé)服務提供商提供一個(gè)基礎的(de)設備管理(lǐ)。同時(shí),把組織的(de)幹擾因素降到最小,創造更大(dà)收益。
B通(tōng)過認證能保證和(hé)證明(míng)組織所有的(de)部門對(duì)信息安全的(de)承諾。
C通(tōng)過認證可(kě)改善全體的(de)業績、消除不信任感。
D獲得(de)國際認可(kě)的(de)機構的(de)認證證書(shū),可(kě)得(de)到國際上的(de)承認,拓展您的(de)業務。
E建立信息安全管理(lǐ)體系能降低這(zhè)種風險,通(tōng)過第三方的(de)認證能增強投資者及其他(tā)利益相關方的(de)投資信心。
F組織按照(zhào)ISO27001标準建立信息安全管理(lǐ)體系,會有一定的(de)投入,但是若能通(tōng)過認證機關的(de)審核,獲得(de)認證,将會獲得(de)有價值的(de)回報。企業通(tōng)過認證将可(kě)以向其客戶、競争對(duì)手、供應商、員(yuán)工和(hé)投資方展示其在同行内的(de)領導地位;定期的(de)監督審核将确保組織的(de)信息系統不斷地被監督和(hé)改善,并以此作爲增強信息安全性的(de)依據,信任、信用(yòng)及信心,使客戶及利益相關方感受到組織對(duì)信息安全的(de)承諾。
G通(tōng)過認證能夠向政府及行業主管部門證明(míng)組織對(duì)相關法律法規的(de)符合性。
ISO27001用(yòng)于爲建立、實施、運行、監視、評審、保持和(hé)改進信息安全管理(lǐ)體系(Information Security Management System,簡稱ISMS)提供模型。采用(yòng)ISMS應當是一個(gè)組織的(de)一項戰略性決策。一個(gè)組織的(de)ISMS的(de)設計和(hé)實施受業務需求和(hé)目标、安全需求、所采用(yòng)的(de)過程以及組織的(de)規模和(hé)結構的(de)影(yǐng)響。
ISO27001标準适用(yòng)範圍:
适用(yòng)于各種類型、規模和(hé)特性的(de)組織(例如:商業企業、政府機構、非盈利組織等),規定了(le)爲适應不同組織或其部門]的(de)需要而定制的(de)安全控制措施的(de)實施要求。以下(xià)示例說明(míng)了(le)風險的(de)不同類别。
1、适用(yòng)于所有組織的(de)特定風險類别:
a)工資、養老金、健康與安全、組織檔案、内部和(hé)部]間的(de)信息等;
b)任何其他(tā)與個(gè)人(rén)有關的(de)可(kě)識别信息;
c)任何其他(tā)商業敏感/關鍵信息,例如,研發信息、設計信息、客戶組織詳細信息、财務結果
d)與預測、商業計劃、知識産權、制造過程等。
2、适用(yòng)于政府的(de)敏感和(hé)(或)關鍵信息的(de)特定風險類别:
a) 公共信息;
b)電子政務應用(yòng);
c)持有的(de)公民信息,例如,健康、救濟金、稅金、檔案等;
d)政府的(de)供應商和(hé)生産商持有的(de)信息,例如,信息通(tōng)信技術(ICT)設計、設施、産品、服務等。
3、适用(yòng)于組織種類的(de)特定風險類别:
a)法人(rén)治理(lǐ)一上市公司(可(kě)能也(yě)有其他(tā)大(dà)型的(de)實體)。
b)适用(yòng)于行業的(de)特定風險類别:
c)衛生保健;
d)教育;
e)航空航天;
f)電信;
g)金融服務;
h)慈善團體和(hé)非盈利組織。
ISO27001認證企業需具備哪些基本條件?
組織提出ISO27001認證申請的(de)前提條件
(1)具備獨立的(de)法人(rén)資格或經獨立的(de)法人(rén)授權的(de)組織;
(2)按照(zhào)ISO/IEC 27001标準的(de)要求建立文件化(huà)的(de)信息安全管理(lǐ)體系;
(3)已經按照(zhào)文件化(huà)的(de)體系運行三個(gè)月(yuè)以上,并在進行認證審核前按照(zhào)文件的(de)要求進行了(le)至少一次管理(lǐ)評審和(hé)内部質量體系審核;
(4)信息安全管理(lǐ)體系運行期間及建立體系前的(de)一年内未受到主管部門]行政處罰。
具備以上條件的(de)組織方可(kě)申請ISO27001認證,針對(duì)的(de)重點是信息安全這(zhè)塊。一般IT行業尤其服務外包較多(duō),大(dà)多(duō)數企上做(zuò)這(zhè)個(gè)認證都是爲了(le)客戶需求或者是招投标的(de)需要,這(zhè)是證明(míng)公司信息安全方面能力的(de)一種資質和(hé)證明(míng),對(duì)企業的(de)有一定的(de)指導作用(yòng)。過程中,企業配合咨詢公司進行前期資料準備,涉及到很多(duō)方面,尤其是信息資産等方面,這(zhè)與企業申請證書(shū)具體範圍有關。
ISO27001認證申請應提交哪些資料?
申請信息安全認證組織向認證機構提供申請書(shū)及申請書(shū)要求提供的(de)相關資料,包括:
1.申請認證的(de)範圍;
2.申請組織的(de)一般特征,包括其名稱、物(wù)理(lǐ)場(chǎng)所的(de)地址、過程和(hé)運作的(de)重要方面以及任何相關的(de)法律義務;
3.申請組織與申請認證的(de)領域相關的(de)一般信息,包括其活動、人(rén)力或技術資源,以及适用(yòng)時(shí),其在一個(gè)較大(dà)實體中的(de)職能和(hé)關系;
4.申請組織采用(yòng)的(de)所有影(yǐng)響符合性的(de)外包過程的(de)信息;
5.申請組織尋求認證的(de)标準或其他(tā)要求;
6.接受與管理(lǐ)體系有關的(de)咨詢的(de)情況;
ISO27000信息安全認證流程是怎麽樣的(de)?
1、提出信息安全認證申請
2、組建體系小組,編寫體系文件
3、體系運行溝通(tōng)
4、安排審核計劃
5、審核老師去到公司進行審核
6、審核通(tōng)過後,上報審核結果
7、認監委公示,下(xià)發證書(shū)