ISO/IEC17799-2000包含了127个安全控制措施来帮助组织识别在运做过程中对信息安全有影响的元素,组织可以根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。国际标准化组织(ISO)在2005年对ISO17799进行了修订,修订后的标准作为ISO27000标准族的部分——ISO/IEC27001,新标准去掉9点控制措施,新增17点控制措施,并重组部分控制措施而新增一章,重组部分控制措施,关联性逻辑性更好,更适合应用;并修改了部分控制措施措辞。1)安全策略。信息安全方针,为信息安全提供管理指引和支持,并定期评审。2)信息安全的组织。建立信息安全管理组织体系,在内部开展和控制信息安全的实施。
信息安全管理体系标准(ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准,类似于质量管理体系认证的 ISO9000标准。当您的组织通过了ISO27001的认证,就相当于通过ISO9000的质量认证一般,表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。根据 ISO27001 对您的信息安全管理体系进行认证,可以带来以下几个好处:
引入信息安全管理体系就可以协调各个方面信息管理,从而使管理更为有效。信息安全不是仅有一个防火墙,或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。
通过实施ISO27001信息安全管理体系,将为企业带来多方面的益处:包括证明企业内部控制具备立保障,并满足公司信息管理和业务连续性要求;立证明已遵守各项适用法律法规;通过满足合同要求以提供竞争优势,并向客户展示其云计算安全已受到保护;在使信息安全流程、程序和文件材料正式化的同时,能够立地证明您的云服务相关风险已得到妥善识别、评估和管理;证明管理层对其信息安全的承诺;定期的评估流程有助于不断监控企业的绩效并终得到改善。
7.减少损失,降低成本的实施,能降低因为潜在安全发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到低程度
ISO270001认证服务流程图
工作内容 参与人员 期望结果
1 差距分析 认证咨询师 现有体系与手册要求之间的差距
明确需要改进的领域
2 建立ISO实施计划 认证咨询师
企业高层领导 确保方针的一致性和连贯性
实施流程图
3 ISO佳体系实施指导 认证咨询师
企业领导小组 理解ISO的意图
制定内部(全员)培训计划
4 计划和准备;确定过程小组 认证咨询师
企业领导小组 产生文件编制计划
同步评审、发放、培训、实施计划
5 ISO内部审核计划 认证咨询师、管理者代表、产品、过程和体系审核员 理解审核群
产生过程审核员和体系审核员
形成审核计划
6 对现有问题采用解决办法 认证咨询师
企业问题解决小组 发现根本问题
建立改进措施
标准化的报告
7 内部审核和纠正措施 认证咨询师
管理者代表、内审员 评估体系的适宜性和有效性
执行改正措施
8 模拟审核和改进 认证咨询师
管理者代表、内审员 发现不符合项、提出改进意见
培训企业相关人员以应对审核
建议和确定第三方审核的时间
9 认证审核 管理者代表、品管经理 通过第三方认证
10 发证及后续服务 认证咨询师 不限期的内审员培训
项目目标:我们将帮助企业取得国家承认的认证证书
证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。
ISO270001信息安全管理体系随着信息技术的高速发展,Internet的问世及网上各种应用的普及,信息安全问题日显。系统瘫痪、入侵、病毒感染、网页改写、的流失及公司内部数据的泄露等等,这些安全问题已给组织的经营、管理和生存带来了严重的影响。如何确保企业信息系统的安全已成为全社会关注的问题。ISO27001信息安全管理体系是目前国际上的信息安全整体解决方案。它以组织风险评估为基石,运用PDCA过程方法和SOA中的信息安全控制措施来帮助组织解决信息安全问题,实现信息安全目标。通过ISO27001标准可以帮助您的组织建立一套“量体裁衣”的信息安全管理控制措施和保护信息资产的制度框架;可以帮助您的组织将IT策略和组织发展方向统一起来。确保与IT相关的风险受到适当的控制;可以帮助您的组织降低信息安全对持续发展造成的风险,利用信息技术创造新的战略竞争机遇。
企业I认证需要具备以下条件
A 营业执照、许可证(副本复印件)。
B 有效的资质证书,如生产许可证、经营许可证、强制性产品认证证书等(适用时);
C 涉及认证范围相关的生产工艺流程或服务流程及与产品/服务有关的技术标准。
D 产品检测报告、计量器具检定证书、特种设备检测报告及特殊工种操作证
F 安排人员与我司老师配合开展工作。
ISO27001标准于1993年由英国贸易工业部立项,于1995年英国出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全佳惯例组成的实施规则,其目的是作为确定工商业信息系统000年,国际标准化组织(ISO)在BS7799-1的基础上制定通过了ISO 17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO 17799再次修订,BS7799-2也于2005年被采用为ISO27001:2005。在大多数情况所需控制范围的参考基准,并且适用于大、中、小组织。
有助于更好地了解信息系统,并找到存在的问题以及保护的办法,组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保有序而稳定地运作。
ISO27001认证信息安全管理实用规则ISOIEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分:BS信息安全管理实施规则BS信息安全管理体系规范。部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据立组织的需要应实施安全控制的要求。标准的主要内容ISOIEC(BS对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础。
信息安全管理体系(InformationSecurityManagementSystem,简称ISMS)的概念初来源于英国标准学会制定的BS7799标准,并伴随着其作为国际标准的发布和普及而被广泛地接受。ISOIECJTC1SC27WG1(国际标准化组织国际电工信息技术安全技术分工作组)是制定和修订ISMS标准的国际组织。ISOIEC《信息安全管理体系要求》)是ISMS认证所采用的标准。目前我国已经将其等同转化为中国国家标准GBTISOIEC。ISOIEC27000族的成员标准主要有哪些?ISOIEC27000族是国际标准化组织为ISMS预留下来的一系列相关标准的总称。
-/gjiaci/-
