爱游戏网页版-爱游戏aiyouxi(中国)
咨(zī)询(xún)热线:0816-2820519 13340909755
网站(zhàn)首页 关于我(wǒ)们(men) 新闻资讯(xùn) 服务项目 服务流程 成功案例 联系我们(men)
服务项目
 
  体系认证
- ISO9001
- ISO/TS16949
- ISO14001
- ISO18001
- ISO13485
- ISO22000
- ISO27001
- 国军标(biāo)GJB9001B
  产品认证
  管理咨询(xún)
  其他咨询(xún)服务
 
 

          绵阳爱游戏网页版和艾斯鸥企业管理(lǐ)咨询有限公司  
          联系(xì)人(rén):李经理(lǐ)  
          手(shǒu)机:13340909755   
                 13568275377  
          座机:0816-2820519  
          传真:0816-2820519  
          Q  Q:378361717  
          邮箱:lcfjy2004@163.com  
          地址(zhǐ):绵(mián)阳市农(nóng)科区德政小区
爱游戏网页版-爱游戏aiyouxi(中国)
 
服务项目(mù)
ISO27001

标准(zhǔn)的(de)主(zhǔ)要内容

ISO/IEC17799-2000(BS7799-1)对信息安全管理给出建议,供(gòng)负(fù)责(zé)在其组织启动、实(shí)施(shī)或维护安(ān)全的人员使用。该标准为开发组织的安(ān)全标准和有效的(de)安全管理做法提(tí)供公共基础,并为组(zǔ)织之间的交(jiāo)往提供信任。
标准指出“象其他重要业务资产一样,信息(xī)也是一种资产”。它对一(yī)个组织具有价值,因此需(xū)要加以合适(shì)地保护。信息安全防止信息(xī)受(shòu)到的各种威胁,以(yǐ)确保(bǎo)业务连(lián)续(xù)性(xìng),使业(yè)务受到损害(hài)的风险减至**小(xiǎo),使********和业务机(jī)会****。
信(xìn)息安全是通过实现(xiàn)一组合适控制获得的。控(kòng)制可以是策略(luè)、惯例、规程、组织(zhī)结构(gòu)和软件功能。需要建立这些控(kòng)制,以(yǐ)确(què)保满足该组(zǔ)织的特定安全目(mù)标。

内容章(zhāng)节

ISO/IEC17799-2000包含了127个安全控制措施来(lái)帮助组(zǔ)织识别在运做过程中对信息安全(quán)有(yǒu)影响的元素(sù),组织可以根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。国际标准化组织(ISO)在2005年对ISO 17799进行了修订,修订后(hòu)的标准作为ISO 27000标(biāo)准族的****部分——ISO/IEC 27001,新标准去掉9点控(kòng)制措施,新增17点控制措施,并(bìng)重组部(bù)分控制(zhì)措(cuò)施而新增(zēng)一章,重组部分控制措施,关联性(xìng)逻(luó)辑性更好,更(gèng)适合(hé)应用(yòng);并修(xiū)改了部分控制措施措(cuò)辞。修改后的标准包括11个章节:
1)安全策略。指定(dìng)信(xìn)息安全(quán)方针,为(wéi)信息安全(quán)提供管理指引和支持,并(bìng)定期评审。
2)信息安全的组织(zhī)。建(jiàn)立信息安全管理组织体系,在内部开(kāi)展(zhǎn)和(hé)控制信息安全的实(shí)施(shī)。
3)资(zī)产管理。核(hé)查(chá)所(suǒ)有信息资(zī)产,做好信息分(fèn)类,确保信息资产受到适(shì)当程度的保护。
4)人力资源安全。确保(bǎo)所有员工,合同(tóng)方(fāng)和第三(sān)方了解信息安全威胁和相关(guān)事(shì)宜以及各自的责任,义务(wù),以减少人为(wéi)差错,盗窃,欺诈或(huò)误用设施的风险。
5)物(wù)理和环境安全(quán)。定义(yì)安全区域,防止对办公场所和信息的未授(shòu)权访问,破(pò)坏和干扰(rǎo);保(bǎo)护(hù)设备的安全,防止信(xìn)息资(zī)产的丢(diū)失,损坏或被盗(dào),以及对企业(yè)业(yè)务的干扰;同时(shí),还要做好一般控(kòng)制(zhì),防止信息和信息处理设施的损(sǔn)坏(huài)和被(bèi)盗。
6)通信和操作管理。制定操作规程和职责,确保信息处理设施的正确和安(ān)全操作;建立(lì)系统规划和验收(shōu)准则,将系统(tǒng)失效的(de)风险(xiǎn)降到****;防(fáng)范恶意(yì)代(dài)码和移动代码,保护软件(jiàn)和信息的完整性(xìng);做好信(xìn)息备份和(hé)网络(luò)安(ān)全管理,确(què)保信(xìn)息在网络中的安全,确保其支持(chí)性基础设施(shī)得到(dào)保护;建立媒体处置和(hé)安全(quán)的规程,防止资产损坏和业务活(huó)动的中(zhōng)断;防止信息和软件在组织之间交换时丢失,修改(gǎi)或误用。
7)访问控制。制定访问控制策略,避免信息系统的非授权访问,并让用(yòng)户了解其(qí)职责和(hé)义务,包括(kuò)网络访(fǎng)问控制(zhì),操作系统访问控制,应用系统和信息(xī)访问控制,监(jiān)视系统访(fǎng)问和(hé)使(shǐ)用,定期检测未授权(quán)的活(huó)动;当使用移(yí)动办公(gōng)和远程控制时,也要确保信息安全。
8)系统采(cǎi)集、开发(fā)和维护。标示系统的安(ān)全要求,确保安(ān)全成为信息系统的内置部分,控制应用系统(tǒng)的(de)安全(quán),防止(zhǐ)应用系统(tǒng)中用户数据的丢失,被修改或误用(yòng);通(tōng)过(guò)加密手段保护信息的(de)保密性(xìng),真实性和(hé)完整性;控制(zhì)对系统文件的访问,确(què)保系统文档,源程序代码的安全;严(yán)格控制(zhì)开发和支持过(guò)程(chéng),维护应用系统软(ruǎn)件(jiàn)和(hé)信息安全。
9)信息安全事故管理。报告(gào)信息安全事件和弱(ruò)点(diǎn),及时采取纠正措施(shī),确保使(shǐ)用持续(xù)有效的方法管理信息安(ān)全事故,并确保及时修(xiū)复。
10)业务连续性管理。目(mù)的(de)是为减少业(yè)务活动的中(zhōng)断,是关键业务过程免(miǎn)受主要故障或天灾的影响(xiǎng),并确保(bǎo)及时恢(huī)复。
11)符(fú)合性(xìng)。信(xìn)息系统(tǒng)的设计,操作(zuò),使用过(guò)程和(hé)管理要(yào)符合法(fǎ)律法规的要求,符合组(zǔ)织安全方针和标准,还要控制系统(tǒng)审计,使信(xìn)息(xī)审核过(guò)程的效力****化,干扰**小化。

ISO27001的效益(yì)

1、通过(guò)定义、评估(gū)和控制(zhì)风险,确(què)保(bǎo)经营的持续性和(hé)能力
2、减少由于合(hé)同违规行(háng)为(wéi)以(yǐ)及直接触犯法律法规要求所造成的责任
3、通过遵守(shǒu)国(guó)际标准提高企(qǐ)业(yè)竞争(zhēng)能力,提升企(qǐ)业形象
4、明确(què)定义所有(yǒu)组织的(de)内部(bù)和外(wài)部的信息接口目标:谨防数据(jù)的误用(yòng)和丢失
5、建(jiàn)立安全(quán)工具使用(yòng)方针
6、谨防(fáng)技术(shù)诀窍的丢(diū)失
7、在组织内部增强(qiáng)安全(quán)意识(shí)
8、可作为公共会计审计(jì)的证据

认识ISO27001国(guó)际标准

ISO27001(BS7799/ISO17799)国际标准究竟(jìng)是什么?它如何帮助一个组织更(gèng)加有效地管理信息安全?BS7799/ISO27001和ISO9001之间有什么联系?初次涉猎信息安全管理(lǐ)领域应该掌握哪些内容,以便组(zǔ)织发起(qǐ)信息安全管理项目?如(rú)何(hé)获(huò)得BS7799国(guó)际(jì)标(biāo)准认证?

IT治理和(hé)信息安全

近年(nián)来企业高层对内部治理需求越来(lái)越实际而具体。随着信息技(jì)术普遍渗透(tòu)到企(qǐ)业组织中的各个方(fāng)面(miàn),企业越来越(yuè)依(yī)赖IT系统来处理和(hé)储存各种信息,以****业务正常(cháng)运营(yíng),由此IT系(xì)统在企业治(zhì)理中的作z用越来越明晰,IT治(zhì)理(lǐ)也逐(zhú)渐被大多数企业认可,成为董事(shì)会和企业(yè)内(nèi)部共(gòng)同关注的领域。IT治理(lǐ)的基础部分是信(xìn)息安(ān)全保(bǎo)护——包括确保信息的可(kě)用性、机(jī)密性和(hé)完(wán)整(zhěng)性(xìng)——这是其他IT治(zhì)理环节实(shí)施的前提。
与此同时,和(hé)信息安全相(xiàng)关的国际(jì)标准(zhǔn)已经(jīng)出台,成为标(biāo)准(zhǔn)IT治理(lǐ)框架(jià)中的一大基石。

信息安全和法律法规

业(yè)内(nèi)人(rén)士(shì)对(duì)ISO27001认证(zhèng)趋(qū)之若鹜,这其中有两个关键性的驱动因素:一是日益严峻的信息安全威胁,二是不断增长的(de)信息(xī)保护(hù)相(xiàng)关法规的需求。
本质上说,信息安全威(wēi)胁(xié)是全球(qiú)化(huà)的。一般来说,它将毫(háo)无差别地辐射(shè)到每一个拥有、使用电子(zǐ)信(xìn)息的机构(gòu)和个人。这种威胁在因特网(wǎng)的环(huán)境中自(zì)动生成并释(shì)放。更严重的问(wèn)题是,其他各种形式的危险(xiǎn)也在整日威胁数据安全,包括从外部攻击行为到内部破坏(huài)、偷盗等一系(xì)列危险。
过去的十年内,围绕(rào)信息和数据安全问题建立起来的法律法规体(tǐ)系从无到有、不断壮大,其中包括专门针(zhēn)对个(gè)人数据保护(hù)问题的,也有(yǒu)针对企业财政(zhèng)、运营和风险管理(lǐ)体系建立(lì)的法(fǎ)规保障问题的。一套正式规范(fàn)的信息安全管理(lǐ)体(tǐ)系应当可(kě)以(yǐ)提供****实践部署(shǔ)指导。目前,建立(lì)这样(yàng)的管理(lǐ)体系逐渐成为诸(zhū)多合规(guī)项目的必要条件,与此同时(shí),针对该管(guǎn)理体系的认证逐渐成(chéng)为各(gè)种组(zǔ)织(包括政府部门)的热(rè)门需求,这份认证可以为他们带来重要的潜在(zài)商(shāng)业合同。

信息安全和技术

绝(jué)大多数人(rén)认为(wéi)信息安(ān)全(quán)是一个(gè)纯粹的(de)有关(guān)技(jì)术的(de)话(huà)题,只有那些(xiē)技术人员,尤其是计算机安全技术人员,才能(néng)够处理任何保障数据和计(jì)算机安全的(de)相关事(shì)宜。这(zhè)固然有一定道理。不过,实(shí)际上,恰恰是计算机用户本(běn)身需要考虑这(zhè)样的问题:避免哪些威胁?在(zài)信息安全和信息(xī)通畅中(zhōng)如何(hé)平衡取舍?的确如(rú)此(cǐ),一(yī)旦用户(hù)给出答案,计算机安全专家**可以设计并执行一个技术方案以(yǐ)达(dá)成用户需求。
在组织内部,管理层应(yīng)当负(fù)责(zé)决策,而不是IT部门。一(yī)个规范的信息安全管理体系(xì)必须(xū)明确指出,组织机构董事会和(hé)管理层应(yīng)当负责相(xiàng)关信息安(ān)全管理(lǐ)体系的决策,同时,这个体(tǐ)系也应当能够反映这种决策,并(bìng)且在运行过程中(zhōng)能够提供证据证明其有效性。
所以机构组织内部的信息安全(quán)管(guǎn)理体(tǐ)系(xì)的建立项目不必由一个技术专家来领(lǐng)导。事实上,技术专家在很多情(qíng)况下起到相反的作用,可能会(huì)阻碍项目进程。因(yīn)此(cǐ),这(zhè)个项目应(yīng)该由(yóu)质量管理经理、总(zǒng)经理或(huò)者其他负责机(jī)构内部重大职能的执行主管负(fù)责主持。

信息安全标准(zhǔn)

1995年,英国标(biāo)准协会(huì)(BSI)发布BS7799标准(zhǔn),即ISMS(信息安全管理体系),旨在规范、引导信息安全管理体系的(de)发展过程和实施情况。BS7799标准被外界(jiè)认为是一个不偏向任(rèn)何技术(shù)、任何(hé)企业和产(chǎn)品供应商的(de)价值中(zhōng)立的管理体系。只要实施得当,BS7799标准将帮助(zhù)企业检查并确认其信息安全管理手(shǒu)段和实施方(fāng)案的有效性。
从(cóng)企业外部来看,BS7799关注信(xìn)息的可用性、机密性和完整性,至今这仍然是这项标准****达到(dào)的(de)目标(biāo)。BS7799集中关注企(qǐ)业组织层面上的风险(xiǎn)规避(一定(dìng)程度上主要是商业和金融风(fēng)险),而不包括避免每一(yī)个潜(qián)在(zài)风险的(de)保护(hù)措施——尽管它们至关重要。
BS7799**初仅有一份(fèn)文档,且具有明显的实践指南性质。也**是说,它为组织提(tí)供信息安全指引,但没有形(xíng)成规范,不能为外部第(dì)三方(fāng)审计(jì)和认证等提供(gòng)依据。随着越来越多的企(qǐ)业(yè)开始认识到来(lái)自信息安全的(de)威(wēi)胁波及范(fàn)围越来越广(guǎng),影响程度越来越大,并(bìng)且关于数据和(hé)隐私(sī)权保护的法律法规不断出台,信息安全(quán)标准认证的需求开始不断增(zēng)加(jiā)。
这种(zhǒng)需求的(de)增加**终(zhōng)促成了该项(xiàng)标准****部分的出台,即(jí)标准(zhǔn)规范。实践指南和标准规范之间的关系(xì)是这样的(de):标准规范是认证方案的基础,同时标准(zhǔn)规范要求实践者遵从实践指(zhǐ)南的指引。
这个实践指南**近被修订为ISO/IEC 17799:2005,标(biāo)准规范也被(bèi)修订为ISO/IEC 27001:2005,逐步得到(dào)国(guó)际认同。
许多国(guó)家也已发布了自己的相(xiàng)关标准,比如AS/NZS7799。这些标准的国(guó)际化版(bǎn)本(běn)可以在世界任何国家得到认可,这促使了**粱曜嫉(jí)南耍(shuǎ)ǔ嘶诹礁霰曜(yào)己怕牖∩系谋**粱曜家(jiā)酝(yùn)猓

认证与遵从

一个组织可以仅遵从ISO17799来建立和发展ISMS(信(xìn)息安全管理体系),因为实践指南中的内容是(shì)普遍适用的(de)。然而,由(yóu)于(yú)ISO17799并(bìng)非基于认证框架(jià),它不具备关于通过(guò)认证所必需的信息安(ān)全(quán)管理体系的要求。而ISO/EC27001则包含(hán)这些具体(tǐ)详尽的管理体(tǐ)系认证要求。在技(jì)术层面来讲,这**表明一个正在(zài)独立运用ISO17799的(de)机构组织,****符合实践指南的要求(qiú),但(dàn)是这并不足(zú)以让外界认可其已经达到认证框架所制定(dìng)的认证要求(qiú)。不同的是,一个正在同时运(yùn)用ISO27001和ISO17799标(biāo)准(zhǔn)的机构组(zǔ)织,可以(yǐ)建立一个****符合(hé)认证具(jù)体要求的ISMS,同时这个ISMS体(tǐ)系也符(fú)合实践(jiàn)指南的要求(qiú),于是,这一组织**可(kě)以(yǐ)获得外界的(de)认(rèn)同,即获得(dé)认证。

ISO27001认证要(yào)求(qiú)

ISO27001标准是为了与其(qí)他管理标准,比如ISO9000和ISO14001等相互兼容而设计(jì)的,这一标准中(zhōng)的编号系统和文件(jiàn)管理需求的设计初衷,**是为了提(tí)供良好的兼容(róng)性,使得组(zǔ)织可以建(jiàn)立起这样一(yī)套管理(lǐ)体系:能够在****程(chéng)度(dù)上融(róng)入这个组织正在使(shǐ)用的(de)其他任何管理体(tǐ)系(xì)。一(yī)般(bān)来说,组(zǔ)织通常会使用(yòng)为其ISO9000认(rèn)证或者其他管(guǎn)理体(tǐ)系认证提供认证服务的机构,来(lái)提供(gòng)ISO27001认证服(fú)务。正是因(yīn)为这个缘故(gù),在(zài)ISMS体系建立的(de)过程中,质量管(guǎn)理的经验举足(zú)轻重。
但是有一点需要(yào)注意,一个(gè)组(zǔ)织(zhī)如果没(méi)有(yǒu)事先拥有并使用任何形(xíng)式的管理体(tǐ)系,并不意味着该组织不能进行(háng)ISO27001认证。这种情况下,该组织**应当(dāng)从经济利益考虑,选择一个合适的管理(lǐ)体(tǐ)系的认证机(jī)构来提供认(rèn)证服(fú)务。认证(zhèng)机构必(bì)须得到一个国家鉴定机构的委托授(shòu)权(quán),才能为认证组织提供认证(zhèng)服务,并发放(fàng)认证证书。大(dà)多数国家都有(yǒu)自(zì)己(jǐ)的国家鉴定机构(比如:英国UKAS),任何(hé)获得该机构授权(quán)进行ISMS认证的机构均记录在(zài)案。

风险(xiǎn)评(píng)估(gū)应对(duì)计划

任何一个ISMS体系的建立和(hé)开发都(dōu)应当(dāng)满足组织独特(tè)的需求。每个组(zǔ)织不仅都(dōu)有自己独特的业务模式、运营(yíng)目标、形象(xiàng)特(tè)点和内(nèi)部文化(huà),他们(men)对待风(fēng)险的态度(dù)倾向也大相径庭。换句话说,同(tóng)一个东西,一个机构组(zǔ)织认(rèn)为是必须(xū)提防的威胁,在(zài)另一个组(zǔ)织(zhī)看(kàn)来可能是一个必须抓住的机遇(yù)。同样地(dì),各个机构组织(zhī)对于既有风(fēng)险防护的投入也参差不齐。基于以上(shàng)或者其(qí)他原因,每个运行ISMS的组织(zhī),其内(nèi)部成员必须对风险评估有一个共(gòng)识,这个风险评(píng)估的方法论、结果发现和推(tuī)荐解(jiě)决方式都必须得到董事会的首肯。

ISMS项目和(hé)PDCA流程(chéng)

ISMS项目很复杂,可能持续若干个月甚(shèn)至若干年,涉及整(zhěng)个机(jī)构组织(zhī)以(yǐ)及从管理层到(dào)收(shōu)发(fā)部门的每(měi)个成(chéng)员。ISO27001认证诞生时间短,成(chéng)功的案例(lì)比较少。从务(wù)实的角度考虑,这表明在(zài)项目计划过程中,必(bì)须尽(jìn)早对(duì)这(zhè)些仅(jǐn)有的指导(dǎo)性的书籍和案例进(jìn)行分析和(hé)研究。
ISO27001标准指导一个企(qǐ)业如何着手开(kāi)展ISMS项目,并且关注整个(gè)项目进程中的若干重(chóng)要(yào)元素。
1950年(nián)W. Edwards Deming提出PDCA流程(chéng),即计划(Plan)-执行(Do)-检查(Check)-提升(Act)过程,意在(zài)说明业(yè)务流(liú)程应当(dāng)是不(bú)断改进的(de),该方法使(shǐ)得职能部门经理可以识别出那些需要修正的环节并进行(háng)修正(zhèng)。这个流程以(yǐ)及(jí)流程的改进,都必须(xū)遵循(xún)这样一(yī)个过程:先计划,再执行,而(ér)后对其运行(háng)结(jié)果进行评估(gū),紧接着按照(zhào)计划(huá)的具体要求(qiú)对该评(píng)估进行复查,而后寻找(zhǎo)到任何与计(jì)划不符的结果偏(piān)差(即潜在(zài)改进的(de)可(kě)能性),**后向管理(lǐ)层提出如何运行的**终报告。

ISO27001认证审核费用及周期

除了组织自(zì)身投入之外,ISO27001 认证审核(hé)费用主(zhǔ)要体(tǐ)现在聘请第三方认证(zhèng)机构及审核员方面了。在组织向认证机构(gòu)提出(chū)申请之后,认证机构会(huì)初(chū)步(bù)了解组(zǔ)织现(xiàn)状(zhuàng),确定审核范(fàn)围(wéi),提出(chū)审(shěn)核报价。认证机构的报价通常是根据其(qí)投入的时(shí)间和人员(yuán)来(lái)确定的,决定因素(sù)包(bāo)括:
1、受(shòu)审核组织的员工(gōng)数量(liàng);
2、纳入(rù)审核(hé)范(fàn)围(wéi)的信息(xī)量;
3、场所数量;
4、组织与外界的(de)关联;
5、组(zǔ)织 IT 的复杂性;
6、组织类型和业务性质等。
除了费用问题(tí),认证审核的周期通常(cháng)也是组织比较关心的。一般来说,从组织启动 ISMS建设项目开(kāi)始,到**终(zhōng)通过审核,至少要有半(bàn)年时间(不包(bāo)括(kuò)获(huò)取(qǔ)证书的时间(jiān))。对(duì)于很多因为外(wài)部(bù)驱(qū)动(dòng)力而决心实施 ISO27001 认(rèn)证项目的组织来说,提(tí)早进行规划是必要的。[6] 
 上(shàng)一个(gè):国军标GJB9001B
  下一个:QS生产(chǎn)许可
  打印本页 || 关闭窗口

绵阳爱游戏网页版和艾斯鸥企业管(guǎn)理咨询有限公司   联(lián)系人:李经理   手机:13340909755    13568275377   座机:0816-2820519  
传真:0816-2820519   Q  Q:378361717   邮箱:lcfjy2004@163.com   地址:绵(mián)阳市(shì)农科区(qū)德政小区
公(gōng)司网易博客: http://lcfjy2004.blog.163.com/  蜀(shǔ)ICP备14028546号-1
友(yǒu)情(qíng)链接: ·中国(guó)CQC质量认证中 ·上海SGS通标认证(zhèng) ·上海DAS认证 ·美国NSF国际(jì)认证 ·四川省质量技(jì)术(shù)监督局 ·中国(guó)国家认证认可监督
网络(luò)经(jīng)济主体信息

爱游戏网页版-爱游戏aiyouxi(中国)

爱游戏网页版-爱游戏aiyouxi(中国)