中山南朗镇--------建立ISO27001信息安全管理体系认证有哪些过程:
ISO27001信息安全管理体系认证建设分为四个阶段:实施安全风险评gu估、规划体系建设方案、
建立信息安全管理体系、体系运行及改进。也符合信息安全管理循环PDCA(Plan-Do-Chk-Action)模
型及ISO27001要求,即有效地保护企业信息系统的安全,确保信息安全的持续发展。本文结合作者
经重点论述上述几个方面的内容。
1、ISO27001认证范围确立
首先是确立项目范围,从机构层次及系统层次两个维度进行范围的划分。从机构层次上,可以
考虑内部机构:需要覆盖公司的各个部门,其包括总部、事业部、制造本部、技术本部等;外部机
构:则包括公司信息系统相连的外部机构,包括供应商、中间业务合作伙伴、及其他合作伙伴等。
从系统层次上,可按照物理环境:即支撑信息系统的场所、所处的周边环境以及场所内保障计
算机系统正常运行的设施。包括机房环境、门禁、监控等;网络系统:构成信息系统网络传输环境
的线路介质,设备和软件;服务器平台系统:支撑所有信息系统的服务器、网络设备、客户机及其
操作系统、数据库、中间件和Web系统等软件平台系统;应用系统:支撑业务、办公和管理应用的应
用系统;数据:整个信息系统中传输以及存储的数据;安全管理:包括安全策略、规章制度、人员组
织、开发安全、项目安全管理和系统管理人员在日常运维过程中的安全合规、安全审计等。
2、信息安全管理安全风险评gu估
企业信息安全是指保障企业业务系统不被非法访问、利用和篡改,为企业员工提供安全、可信
的服务,保证信息系统的可用性、完整性和保密性。
一、什么是ISO27001
与ISO9001等其它标准类似,ISO27001也是一种国际标准。ISO27001主要关注企业和组织的信
息安全,它提供了一套综合的、由信息安全zui佳惯例组成的实施规则,其目的是作为确定工商业
信息系统在大多数情况所需控制范围的参考基准,并且适用于大、中、小组织。
ISO27001:2013是2013年10月19日由国际标准化组织(ISO)正式颁布实施。
ISO27001是建立信息安全管理体系(ISMS)的一套需求规范,其中详细说明了建立、实
施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评gu估标准,当然,如果要得到
zui终的认证(对依据ISO27001建立的ISMS进行认证),还有一系列相应的注册认证过程。
二、什么是ISO27001认证
所谓认证,即由认证机构依据特定的审核准则,按照规定的程序和方法对受审核方实施审核,
以确定特定事项的符合性的活动。
针对ISO27001的受认可的认证,是对组织信息安全管理体系(ISMS)符合ISO27001要求的一种认
证。这是一种通过权威的第三方审核之后提供的保证:受认证的组织实施了信息安全管理体系,并
且符合ISO27001标准的要求。
通过ISO27001认证的组织,将会被注册登记,其注册信息可在中国合格评定国家认可委员会
(CNAS)、中国国家认证认可监督管理委员会(CNCA)网站进行查询。
中山南朗镇--------ISO27001信息安全管理系统标准:
在日趋网络化的世界里,「信息」对建立竞争优势起着举足轻重的作用。但它同时也是柄双刃剑,
当信息被意外或刻意的传给恶意的接收者时,同样的信息也可能导致一所机构倒闭。在当今的信息
时代,科技无疑为我们解决了不少问题。
国际标准组织(ISO)应此类需求,制定了ISO27001:2005标准,为如何建立、推行、维持及改善信
息安全管理系统提供帮助。信息安全管理系统(ISMS)是高层管理人员用以监察及控制信息安全、减
少商业风险和确保保安系统持续符合企业、客户及法律要求的一个体系。ISO/I 27001:2005 能协
助机构保护专利信息,同时也为制定统一的机构保安标准搭建了一个平台,更有助于提升安全管理
的实务表现和增强机构间商业往来的信心与信任。
中山南朗镇-------- 什么机构可采用 ISO/I 27001:2005 标准?
任何使用内部或外部电脑系统、拥有机密资料及/或依靠信息系统进行商业活动地机构,均可采用
ISO/I 27001:2005标准。简单的说,也就是那些需要处理信息、并认识到信息保护重要性的机构。
ISO/I 27001 的控制目标及措施
ISO/I 27001制定的宗旨是确保机构信息的机密性、完整性及可用性,为达成上述宗旨,该标准共
提出了39个控制目标及134项控制措施,推行ISO/I 27001标准的机构可在其中选择适用于其业务的
控制措施,同时也可增加其他的控制措施。而与ISO/I 27001相辅的 ISO 17799:2005 标准是信息
安全管理的实务守则,为如何推行控制措施提供指引。
