随着信息技术的高速发展,各类组织对IT系统的依赖也日益加重,信息技术几乎渗透到了世界各地和社会生活的方方面面。因此,对信息加以保护,防范信息的损坏和泄露,已成为当前组织迫切需要解决的问题。
国际标准化组织(ISO)和国际电工委员会(IEC)于2005年10月15日联合发布了国际标准ISO/IEC27001《信息技术-安全技术-信息安全管理体系-要求》,旨在为所有类型的组织,包括政府、银行、电讯、研究机构、外包服务企业、软件服务企业等,在建立、实施、运行、监视、评审、保持和改进信息安全管理体系时提供模型,通过一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作,并规定了为适应不同组织或其部门的需要而制定安全控制措施的实施要求。ISO/IEC27001标准涉及了最广泛意义上的信息安全,为组织实施、维护和管理信息安全提供了最好的商业操作指南和原则,并可以用作第三方认证的依据。2013年10月19日ISO/IEC27001:2013版标准颁布实施。
1.什么机构可采用ISO/IEC27001标准
任何使用内部或外部电脑系统、拥有机密资料及/或依靠信息系统进行商业活动地机构,均可采用ISO/IEC27001标准。简单的说,也就是那些需要处理信息、并认识到信息保护重要性的机构。
2.ISO/IEC27001的控制目标及措施
ISO/IEC27001制定的宗旨是确保机构信息的机密性、完整性及可用性,为达成上述宗旨,该标准共提出了14个控制域,35个信息安全管理的控制目标,114项安全控制措施。推行ISO/IEC27001标准的机构可在其中选择适用于其业务的控制措施,同时也可增加其他的控制措施。
3.ISO/IEC27000族介绍:
4.ISO/IEC27001信息安全管理体系认证的好处
通过瀚晟顾问提供的信息安全管理体系认证,在证明组织内部运行了有效的信息安全管理体系的同时,还可以帮助组织:
1)协调各个方面信息管理,从而使管理更为有效;
2)使信息风险的发生概率和结果降低到可接受收水平,保持组织业务运作的持续性;
3)利用信息技术为组织创造新的战略竞争机遇;
4)保证和证明组织所有的部门对信息安全的承诺;
5)向政府及行业主管部门证明组织对相关法律法规的符合性;
6)通过遵守国际标准提高企业竞争能力,提升企业形象。
5.ISO27001信息安全管理体系推行一般步骤说明
1)管理承诺
2)确定信息安全管理体系(ISMS)的范围
3)制定认证计划
4)进行现状调查
5)制定行动计划
6)进行资产识别与风险评估
7)管理风险
8)选择控制目标和控制对象
9)适用性声明
10)建立ISMS文件
11)实施信息安全管理体系:
12)进行内审及纠正措施的有效性跟进:
13)进行管理评审
14)文件评审
根据ISO27001认证要求,欲进行认证的组织首先要向认证机构提供下列信息:
(A)工厂人数,公司地址;
(B)认证范围;
(C)进行认证的现场;
(D)信息安全方针/适用性声明;
(E)信息安全手册(包括每一个要审核的现场);
(F)内审和管理评审策划以及前3个月的结果;
(G)适用的法律法规和其它要求的符合性证据;
(H)至少前3个月的运行业绩趋势。
15)进行第一阶段审核:
16)行第二阶段审核:
17)以适当的间隔进行监督审核:
18)进行重新认证审核:
咨询报价
