J9平台-J9(中国)一站式服务平台
咨询(xún)热(rè)线:0816-2820519 13340909755
网站首页 关于我们 新闻资讯 服务项目 服(fú)务流程 成(chéng)功案例 联系我们(men)
服务项目
 
  体系认(rèn)证
- ISO9001
- ISO/TS16949
- ISO14001
- ISO18001
- ISO13485
- ISO22000
- ISO27001
- 国(guó)军标GJB9001B
  产品(pǐn)认证
  管理咨询(xún)
  其他咨(zī)询服务
 
 

          绵阳艾斯(sī)鸥企业管理咨(zī)询有限(xiàn)公(gōng)司  
          联系人:李(lǐ)经理  
          手机:13340909755   
                 13568275377  
          座机:0816-2820519  
          传真:0816-2820519  
          Q  Q:378361717  
          邮箱:lcfjy2004@163.com  
          地址:绵阳市农科区德政小区
J9平台-J9(中国)一站式服务平台
 
服(fú)务项目
ISO27001

标准的主要(yào)内容

ISO/IEC17799-2000(BS7799-1)对信(xìn)息安全管理给出建议,供负责在其组织启(qǐ)动、实(shí)施(shī)或维护安全的(de)人员使(shǐ)用。该标准为开发组织的安全(quán)标准(zhǔn)和有效(xiào)的安全管理做法提供公(gōng)共基础,并为组织之间的交往提供信(xìn)任。
标准指(zhǐ)出“象(xiàng)其他(tā)重要(yào)业务资产一样,信息也是一种资产”。它对一个(gè)组织具有价值,因此需要加以合适地保(bǎo)护(hù)。信(xìn)息安全(quán)防止信息受到的各(gè)种威胁(xié),以确保业务连续性,使业务(wù)受到损害的风险减至**小(xiǎo),使********和业务机(jī)会****。
信息安全是(shì)通过实现一组合适控制(zhì)获得的。控制可以是策略(luè)、惯例、规程、组织结(jié)构和软件功能。需(xū)要建立这些控制,以(yǐ)确保(bǎo)满足该组织的特定安全目标。

内容章节

ISO/IEC17799-2000包含了127个安全(quán)控制措施来帮(bāng)助组织识别在运(yùn)做过(guò)程中对信息安(ān)全(quán)有影响(xiǎng)的(de)元素,组织可以(yǐ)根据适用(yòng)的法律(lǜ)法规和章程(chéng)加以选(xuǎn)择和使用,或者增加其他附加控制。国际标准化组织(ISO)在(zài)2005年对(duì)ISO 17799进行了修订(dìng),修订后的标(biāo)准(zhǔn)作为ISO 27000标准族的****部分(fèn)——ISO/IEC 27001,新标(biāo)准去掉9点控制措施,新增17点控制措施(shī),并重组部(bù)分控(kòng)制措(cuò)施而新增(zēng)一(yī)章,重(chóng)组(zǔ)部(bù)分控制措施,关(guān)联性逻辑性更好,更适合应用;并修改了(le)部分(fèn)控制(zhì)措施措辞。修改后的标准包(bāo)括(kuò)11个(gè)章节:
1)安全策略。指(zhǐ)定信息安全方针,为(wéi)信息安(ān)全提供管理指(zhǐ)引(yǐn)和支持,并定(dìng)期评审。
2)信息安全的组织(zhī)。建立信息(xī)安(ān)全管理(lǐ)组织体系,在内部开展和控制信息安全的实施。
3)资产管理。核查所(suǒ)有信息资产,做好信息分类(lèi),确保信(xìn)息资产(chǎn)受到适当程(chéng)度(dù)的保护。
4)人力资源(yuán)安全。确(què)保所有员工,合同方和第三方了解信息安全威(wēi)胁(xié)和相关事宜以及各自的责任,义务(wù),以减少人(rén)为差错,盗窃(qiè),欺诈或误(wù)用设施(shī)的风险。
5)物理和环境(jìng)安全。定(dìng)义安全区域,防止(zhǐ)对办公(gōng)场所和信息的未授权访问,破坏和干扰;保护设备的安(ān)全,防止信息资产的丢(diū)失(shī),损坏(huài)或被盗,以及对(duì)企业业务的(de)干扰;同时,还要做好一般(bān)控制,防止信息(xī)和信息处理设施的(de)损坏(huài)和被盗。
6)通信(xìn)和操作管理(lǐ)。制定操作规程和(hé)职责,确保信息处理设施的正确和(hé)安全操作;建(jiàn)立(lì)系统规划和验收准则,将系统(tǒng)失效(xiào)的风险降(jiàng)到****;防范恶意代码和(hé)移动代码,保护软件和信息的(de)完整性;做好信息备份和网络安全管理,确(què)保信息在网络中的安全,确保(bǎo)其支(zhī)持性基础设施得到保护;建立媒体(tǐ)处置和安(ān)全的规(guī)程(chéng),防止资(zī)产损(sǔn)坏和业(yè)务活动的中断;防止信息和软件在组织之间交(jiāo)换时丢失,修(xiū)改或误用。
7)访(fǎng)问控(kòng)制。制定访问(wèn)控(kòng)制策(cè)略(luè),避免信息系(xì)统的非(fēi)授(shòu)权访问,并让用户(hù)了解(jiě)其职(zhí)责(zé)和义务,包括(kuò)网络访(fǎng)问控(kòng)制,操作系统(tǒng)访问控制,应用系统和信息访(fǎng)问控制,监(jiān)视系统(tǒng)访问和使用,定期检测未(wèi)授权(quán)的活动;当使用移动办公和远程控制时,也要确保信息安全(quán)。
8)系统采集、开发(fā)和维(wéi)护。标示系(xì)统(tǒng)的(de)安(ān)全(quán)要求,确保安全成为信息(xī)系统的内(nèi)置(zhì)部分(fèn),控制应用(yòng)系统的(de)安全,防止应用系(xì)统中用户(hù)数据的丢失,被修改或误用;通过加密(mì)手(shǒu)段保护信(xìn)息的保密性,真(zhēn)实性(xìng)和(hé)完整性;控制(zhì)对(duì)系(xì)统文件的访(fǎng)问,确保系统文档,源程序代码的安全;严格控制开发(fā)和支持过程,维护应用系统软(ruǎn)件和信(xìn)息安全。
9)信息安全事故(gù)管理(lǐ)。报(bào)告信息安全事件(jiàn)和弱点,及时采取纠正措施,确保使用持续有效(xiào)的方法管理信息安(ān)全事故,并确(què)保及时修复。
10)业务连续性管(guǎn)理。目的是为减少业务活动的中断,是关键业务过程免受(shòu)主要故障或天灾的影响(xiǎng),并确保及时恢复。
11)符合性。信息系统的设计,操(cāo)作(zuò),使用过程和管理要符合法律法规的要求(qiú),符合组织(zhī)安全方针和标(biāo)准(zhǔn),还要控(kòng)制系(xì)统审计,使信息审核过程的效力****化,干扰**小化。

ISO27001的(de)效益

1、通(tōng)过定义(yì)、评估和控(kòng)制风险,确保经营的持续性和能力
2、减(jiǎn)少由于合同违规行为(wéi)以(yǐ)及(jí)直接触犯(fàn)法律(lǜ)法规(guī)要求所造(zào)成的责任
3、通过遵(zūn)守国际标准提高(gāo)企(qǐ)业竞争能力,提升企业形象
4、明确定义所有(yǒu)组(zǔ)织(zhī)的内部和外(wài)部的信息接口目标:谨防数(shù)据的误(wù)用和丢(diū)失
5、建立安全工具(jù)使(shǐ)用(yòng)方针(zhēn)
6、谨防(fáng)技术诀(jué)窍的丢失
7、在组织内部增强安全意识
8、可作(zuò)为公共会计审计的(de)证(zhèng)据

认识(shí)ISO27001国际标(biāo)准

ISO27001(BS7799/ISO17799)国(guó)际标准究竟是什么?它(tā)如何帮(bāng)助一个组织更加有效地管理信息安全(quán)?BS7799/ISO27001和(hé)ISO9001之(zhī)间有什么联系(xì)?初次涉(shè)猎信息安全管理领域应该掌(zhǎng)握哪些内容,以便组织发起信息(xī)安全管理项目?如(rú)何获(huò)得BS7799国际标准认证?

IT治理和信息安(ān)全

近年来(lái)企业(yè)高层对内部治(zhì)理需求越来(lái)越实(shí)际(jì)而具体。随(suí)着(zhe)信息技术普遍渗透到企业组(zǔ)织中的各个方面,企业越(yuè)来越依赖IT系统来处理(lǐ)和储存各种信息(xī),以****业务正常(cháng)运营,由此(cǐ)IT系统在(zài)企业(yè)治(zhì)理中的作z用越来(lái)越明晰,IT治理也逐渐被大多(duō)数企业认可,成(chéng)为董事会和企业内部共同关注的领域(yù)。IT治理(lǐ)的基础部(bù)分是信息安全保护——包括确保信息(xī)的可(kě)用(yòng)性(xìng)、机密性(xìng)和完(wán)整性——这是(shì)其他IT治理环节实施(shī)的前提。
与此同时,和(hé)信息安全相关的国际标准已(yǐ)经出(chū)台,成为标准IT治理框架中的一(yī)大基石。

信息安全和法律法规(guī)

业内人士(shì)对(duì)ISO27001认(rèn)证趋(qū)之若鹜,这其中(zhōng)有两(liǎng)个关(guān)键性的驱动(dòng)因素:一是(shì)日益严(yán)峻(jun4)的信(xìn)息安全威(wēi)胁,二是不断(duàn)增长的信(xìn)息保护相(xiàng)关法(fǎ)规的需求。
本质上说,信息安全威胁是全(quán)球化的。一般来(lái)说,它将毫无差别(bié)地(dì)辐射到每一个拥有、使用电子信(xìn)息的机构和(hé)个人。这种(zhǒng)威胁在(zài)因特网的环境中自动生成并释放。更严重的问题是,其他各(gè)种形式的危险也在整日威胁(xié)数据安全,包括从外部攻击行(háng)为到内部破坏(huài)、偷(tōu)盗等(děng)一系列危险。
过去的(de)十年内(nèi),围绕(rào)信息和(hé)数据安全问题建立(lì)起来的法律法规体系从(cóng)无到有、不断壮大,其中包括专门针对个人数据保(bǎo)护问题的,也有针(zhēn)对企(qǐ)业财政、运营和风(fēng)险管理体系建立的法规保障问题的。一套正式(shì)规范的信息安(ān)全管理体系应(yīng)当可以(yǐ)提供****实践部(bù)署指导。目前,建立这样的管理体系(xì)逐渐成为诸多合规项目的必要条件,与此同时,针对该管理体系的认证逐渐成为(wéi)各(gè)种组织(包(bāo)括政府部门(mén))的热(rè)门(mén)需求(qiú),这份(fèn)认证可(kě)以为他们带来重要的(de)潜在商(shāng)业(yè)合同。

信息安全(quán)和技(jì)术

绝大多数人认(rèn)为(wéi)信息安全是一个纯粹的有(yǒu)关技术的话(huà)题,只有那些技(jì)术人员,尤(yóu)其是计算(suàn)机安(ān)全技术人(rén)员,才能(néng)够处理任何保障(zhàng)数据和计算机安全的相关事宜。这固然有一定道理。不过,实际上,恰恰是计算机用户本身需要(yào)考虑这样(yàng)的问(wèn)题:避免哪些威胁(xié)?在信息安(ān)全和信(xìn)息(xī)通畅中(zhōng)如(rú)何平衡取舍?的确如此(cǐ),一旦用户给出答(dá)案,计算机安全专家**可以设计(jì)并执行一(yī)个技术方案以达(dá)成(chéng)用(yòng)户需(xū)求。
在组织内部,管理层应当负责决策,而不是IT部(bù)门。一个(gè)规范(fàn)的信息安全管理(lǐ)体系必须明确指出,组(zǔ)织机(jī)构董事(shì)会和管理层应当(dāng)负(fù)责相关信息(xī)安全管理体系的决策,同时,这个体(tǐ)系也应当(dāng)能够反映(yìng)这种决策,并且在运(yùn)行过程中能够提供证据证(zhèng)明其(qí)有效性。
所以机构组织内部的(de)信息安(ān)全管理体系的建立项目(mù)不必由一个(gè)技(jì)术(shù)专家来领导。事实上,技术(shù)专家在很多情况下起到相反的(de)作用,可能会(huì)阻碍项目进程。因(yīn)此,这(zhè)个项目应该由质量管(guǎn)理(lǐ)经理、总经(jīng)理或者其(qí)他负责机构内部重大职能的(de)执行主(zhǔ)管负责主持。

信息安全标(biāo)准

1995年,英国(guó)标准协会(BSI)发(fā)布BS7799标准,即ISMS(信息(xī)安全(quán)管理体系),旨(zhǐ)在规范(fàn)、引导信息安全管(guǎn)理体系的发展过程和实施情况(kuàng)。BS7799标准被外(wài)界认为是一个(gè)不偏向任何技术、任何企(qǐ)业和产品供应商的价值中立的管(guǎn)理体系。只要(yào)实施得当(dāng),BS7799标准将帮助企业(yè)检查并确认其信息安全管理(lǐ)手段和实施方案的(de)有(yǒu)效性(xìng)。
从(cóng)企业外部来看,BS7799关(guān)注信息的可用性、机密性和完(wán)整性,至今这仍然是(shì)这项(xiàng)标准****达到的目标(biāo)。BS7799集中关注企(qǐ)业组(zǔ)织层面上的风险规避(一定程度上主要是商业和金融风险),而不包括避(bì)免每(měi)一(yī)个潜在风险的保护措施——尽管它(tā)们至关重(chóng)要(yào)。
BS7799**初仅有一(yī)份文档,且(qiě)具有明(míng)显的实践指南(nán)性质。也(yě)**是说,它为组(zǔ)织提供信息安全指引,但没有形(xíng)成(chéng)规范(fàn),不能为外(wài)部第三方审计和认证(zhèng)等提供依据。随着越来越多的企(qǐ)业(yè)开始认识到来自信息安全的威(wēi)胁波及范(fàn)围越来越(yuè)广,影(yǐng)响程度(dù)越来越大,并且关于(yú)数据(jù)和隐私权保(bǎo)护的法律(lǜ)法规不断出台(tái),信息安(ān)全(quán)标准认证的(de)需求开始不断增加。
这种需(xū)求的增加**终促成了该项标准****部(bù)分的出(chū)台(tái),即标准规范。实践指南和标准规范之间(jiān)的关系是这样的:标准规范(fàn)是认证方案的基础,同时标准规范要求实践(jiàn)者遵从(cóng)实践指南的指引。
这(zhè)个(gè)实(shí)践指南**近被修订为ISO/IEC 17799:2005,标准规(guī)范也被修订为ISO/IEC 27001:2005,逐(zhú)步得到国际认同。
许多国家(jiā)也已发布(bù)了(le)自(zì)己的相关标准,比如(rú)AS/NZS7799。这(zhè)些标准的国际化版本可以在世界任(rèn)何国家得到认可,这促使了**粱曜嫉南耍(shuǎ)ǔ嘶诹礁霰曜己怕牖∩系(xì)谋(móu)**粱曜家酝猓

认证(zhèng)与(yǔ)遵从

一个组织可以仅遵从(cóng)ISO17799来(lái)建立和(hé)发展(zhǎn)ISMS(信息安(ān)全管理体(tǐ)系),因(yīn)为(wéi)实践指(zhǐ)南中的内容是普(pǔ)遍适用的。然(rán)而,由于(yú)ISO17799并非基于(yú)认证框架,它不具备关于通过认证所必需的信息安全管理体(tǐ)系的要求。而ISO/EC27001则包含(hán)这(zhè)些具体详尽的管理体系认证要求。在技术层(céng)面来讲,这**表(biǎo)明一个正在独立运用ISO17799的机构组(zǔ)织,****符合实践(jiàn)指南(nán)的要求(qiú),但是这并(bìng)不足以(yǐ)让(ràng)外界认可其已经(jīng)达到(dào)认证框(kuàng)架所制定的认证要求。不同的是,一个正在同时运用ISO27001和ISO17799标(biāo)准的机构(gòu)组织,可(kě)以建立一(yī)个****符合(hé)认证具体要求的ISMS,同时(shí)这个ISMS体系(xì)也符合实(shí)践指南的要求,于是,这一组(zǔ)织(zhī)**可以获得外界(jiè)的认同,即(jí)获得认(rèn)证。

ISO27001认证要(yào)求

ISO27001标准是(shì)为(wéi)了与其他(tā)管理(lǐ)标准(zhǔn),比(bǐ)如ISO9000和ISO14001等相互兼容(róng)而设计的,这一(yī)标准中的编号系统和文件管理需求的设(shè)计初衷,**是为了提供良好的兼容性,使(shǐ)得(dé)组织(zhī)可以建立起这样一套管理体(tǐ)系:能够(gòu)在****程(chéng)度上融入(rù)这(zhè)个组织正在使用(yòng)的其他任何管理体系(xì)。一般来说(shuō),组织通常会(huì)使用为其ISO9000认证或者其他管理体系认证提供(gòng)认(rèn)证服务的机(jī)构,来提供ISO27001认(rèn)证服(fú)务。正是因(yīn)为(wéi)这个缘故,在ISMS体系建立(lì)的(de)过程中,质(zhì)量管(guǎn)理的(de)经验举足轻重。
但是有一点需要注意,一个组织如(rú)果没有事(shì)先拥有并(bìng)使用任何形式的管理体系,并(bìng)不意味(wèi)着该组(zǔ)织不能进(jìn)行ISO27001认证。这种情况(kuàng)下,该组织(zhī)**应(yīng)当从经济(jì)利益(yì)考虑,选择一个(gè)合适的管理体系的认证机构来(lái)提(tí)供认证服务。认(rèn)证(zhèng)机(jī)构必须得到一个国(guó)家鉴(jiàn)定(dìng)机构(gòu)的委(wěi)托授权,才能为认证(zhèng)组(zǔ)织提(tí)供(gòng)认证(zhèng)服务,并发(fā)放认证证(zhèng)书。大(dà)多数国家都有自己(jǐ)的国家鉴(jiàn)定机构(比如:英国UKAS),任何获得该机构授权进行ISMS认(rèn)证的机构均记录在案。

风险评估应对计划

任何一个ISMS体(tǐ)系的建立(lì)和开发都应当(dāng)满足组织独特的需求。每个组织不仅(jǐn)都有自己(jǐ)独特(tè)的业务模式、运营目标、形象特点和内部文(wén)化,他(tā)们对待风险的态度倾(qīng)向(xiàng)也大相径(jìng)庭。换句话说,同一(yī)个东西,一个机构(gòu)组织认为是必须提防的威胁,在另一个组织看来可能是一个必须抓住的机遇。同样地,各个机构组织对于既有风险防(fáng)护的投入也参(cān)差不齐。基于以上或者其(qí)他原因(yīn),每个运行ISMS的组织(zhī),其内部成员必须对风(fēng)险评估有一个共识(shí),这(zhè)个风险评估的(de)方法论、结果发现和推荐解决方式都(dōu)必须得到董事会的首肯。

ISMS项(xiàng)目和PDCA流(liú)程

ISMS项目很复杂,可能持续若干个月甚至若干(gàn)年,涉及整个机构组织以及从管理层到收发部(bù)门的每个成员(yuán)。ISO27001认证诞生时间(jiān)短,成功的(de)案例(lì)比较少。从务(wù)实的角度考虑(lǜ),这表(biǎo)明在项目计划过程中,必须(xū)尽早对这(zhè)些仅有的(de)指导性的书籍和(hé)案例进行分析和研究(jiū)。
ISO27001标准(zhǔn)指(zhǐ)导一个企业如何着手开展ISMS项目(mù),并且关注整个项目(mù)进(jìn)程中的若干重要元素。
1950年W. Edwards Deming提出PDCA流程,即(jí)计划(Plan)-执行(Do)-检查(Check)-提升(Act)过程,意在说明业务流(liú)程(chéng)应(yīng)当是不断改进的,该方(fāng)法使得职能部门经(jīng)理可以识别出那(nà)些需要修正的环节(jiē)并进行(háng)修(xiū)正。这个(gè)流程以及流程的改进,都必须遵循这样一(yī)个过程:先(xiān)计(jì)划,再执行,而后对其运行结果进行评估,紧接着按(àn)照计划的(de)具体要求对该评估(gū)进行复查(chá),而后寻找到任何与计划不符的结果偏差(即潜(qián)在改进的可能性),**后向(xiàng)管理层提出(chū)如何运行的(de)**终(zhōng)报告。

ISO27001认证(zhèng)审核费用及周(zhōu)期

除(chú)了(le)组(zǔ)织自身投(tóu)入之外,ISO27001 认证审核(hé)费用(yòng)主要(yào)体现在聘请第三方认(rèn)证机构(gòu)及(jí)审核员方面了。在组(zǔ)织向(xiàng)认证(zhèng)机构(gòu)提(tí)出申请之(zhī)后,认证机(jī)构(gòu)会初步了(le)解组织(zhī)现状(zhuàng),确定审核范围,提出审核报价。认证机构的报(bào)价通常是根据其投(tóu)入的时间(jiān)和人(rén)员来确定的,决定因(yīn)素包括:
1、受(shòu)审(shěn)核组织的员(yuán)工数量;
2、纳入审核范围的信(xìn)息(xī)量;
3、场所(suǒ)数量;
4、组织与外界的关联;
5、组织 IT 的复杂性;
6、组织类型(xíng)和业务性质(zhì)等。
除了费(fèi)用问题,认证审核的周期通常也是组织比较关心的。一般来说,从组织启动(dòng) ISMS建设项目开始,到**终通过审核,至少要有半年时间(不包(bāo)括获取证书的时间)。对于很(hěn)多因为(wéi)外部驱动力而决心(xīn)实施 ISO27001 认(rèn)证项(xiàng)目的组(zǔ)织来说(shuō),提(tí)早进行规划是必要的。[6] 
 上一个(gè):国(guó)军标GJB9001B
  下一个:QS生产许(xǔ)可
  打印本页 || 关闭窗(chuāng)口

绵阳J9平台和艾斯鸥企业(yè)管理(lǐ)咨询有限公(gōng)司(sī)   联(lián)系人:李(lǐ)经(jīng)理   手机:13340909755    13568275377   座机:0816-2820519  
传真(zhēn):0816-2820519   Q  Q:378361717   邮(yóu)箱:lcfjy2004@163.com   地址:绵阳市农科(kē)区德政小区
公司(sī)网易博客(kè): http://lcfjy2004.blog.163.com/  蜀ICP备14028546号-1
友情链接: ·中国CQC质量认证中(zhōng) ·上海SGS通标(biāo)认证 ·上海DAS认证 ·美国NSF国(guó)际认证 ·四川省质量技术监(jiān)督局 ·中国国家认证认可监督(dū)
网(wǎng)络经济主体(tǐ)信息

J9平台-J9(中国)一站式服务平台

J9平台-J9(中国)一站式服务平台