万象城在线登录 - 万象城(中国)-万象城(中国)
咨(zī)询(xún)热线(xiàn):0816-2820519 13340909755
网站首页 关(guān)于我们 新闻资讯 服务项目 服(fú)务(wù)流程 成(chéng)功案例 联系我(wǒ)们
服务项目(mù)
 
  体系(xì)认证(zhèng)
- ISO9001
- ISO/TS16949
- ISO14001
- ISO18001
- ISO13485
- ISO22000
- ISO27001
- 国军标GJB9001B
  产品认证
  管理咨(zī)询
  其(qí)他咨询(xún)服务
 
 

          绵阳万象城在线登录 和艾斯鸥企业管理(lǐ)咨询有(yǒu)限公(gōng)司  
          联(lián)系人:李经理  
          手机:13340909755   
                 13568275377  
          座机(jī):0816-2820519  
          传真(zhēn):0816-2820519  
          Q  Q:378361717  
          邮箱(xiāng):lcfjy2004@163.com  
          地址:绵阳(yáng)市(shì)农科区德政小区
万象城在线登录 - 万象城(中国)-万象城(中国)
 
服务(wù)项目
ISO27001

标准的(de)主要内(nèi)容

ISO/IEC17799-2000(BS7799-1)对信息安全管理给出建议(yì),供负责在其组(zǔ)织启动(dòng)、实施或维护(hù)安全的人员使用。该标准为开(kāi)发组织的安(ān)全标(biāo)准和有效的安全管理做(zuò)法(fǎ)提供公共基础,并(bìng)为组织之间(jiān)的交往(wǎng)提供信任。
标准指(zhǐ)出(chū)“象其他(tā)重(chóng)要业务资(zī)产一样,信息也是(shì)一(yī)种(zhǒng)资产”。它对一个组(zǔ)织具有价值,因此需要(yào)加以合适地保护。信息安全防止(zhǐ)信息受到的各(gè)种威胁,以确保业务连续性(xìng),使业务受到损害的风险减至**小,使********和(hé)业务机会****。
信息安(ān)全是通过实现一组合适(shì)控制获得的。控制(zhì)可以是策略、惯例、规程、组织结构和软件(jiàn)功能。需要建立这些控制,以确保满足该组(zǔ)织的特(tè)定安全目标。

内容章节

ISO/IEC17799-2000包(bāo)含了127个(gè)安全控制措施(shī)来帮助组织识别在运做过程中对信息安全有影响的(de)元(yuán)素,组织(zhī)可以(yǐ)根(gēn)据适用的(de)法律法(fǎ)规(guī)和(hé)章程加以选择和使用(yòng),或(huò)者增加(jiā)其他附加(jiā)控(kòng)制。国际标准(zhǔn)化组织(ISO)在(zài)2005年对ISO 17799进行了修订,修订后的标准作(zuò)为ISO 27000标准族的****部分——ISO/IEC 27001,新标准去掉9点控(kòng)制措施,新增(zēng)17点控(kòng)制措施,并重组部分控(kòng)制措(cuò)施而新增一章,重组(zǔ)部分控制措施,关联性逻辑性更(gèng)好,更适合应用;并修改了部(bù)分控制措施措(cuò)辞。修改后的标准包(bāo)括11个章节:
1)安(ān)全策略。指(zhǐ)定信(xìn)息安(ān)全方针,为信息安全提供(gòng)管理(lǐ)指引和(hé)支持,并定期(qī)评审。
2)信息安全的(de)组(zǔ)织。建立信息安全(quán)管理(lǐ)组织(zhī)体系,在内部开(kāi)展和控制(zhì)信息安(ān)全(quán)的实施(shī)。
3)资产管理。核查所有信息资产,做好信息分类,确保信息资产受(shòu)到适当程(chéng)度的(de)保护。
4)人力(lì)资源安全。确(què)保所(suǒ)有员工,合同方和第(dì)三方(fāng)了解信(xìn)息安(ān)全(quán)威胁和相关事宜以及各自的责任,义务,以减少人为(wéi)差错,盗窃,欺(qī)诈或误用设施的风险(xiǎn)。
5)物理和环境(jìng)安全(quán)。定义安(ān)全区域,防止对办公场所和信息的未授权访问,破坏(huài)和干扰;保(bǎo)护设备的安全,防止(zhǐ)信息资产(chǎn)的丢(diū)失,损坏(huài)或被盗,以及对企业业务的干扰;同时,还(hái)要做好一般控制,防止信息和信息(xī)处理(lǐ)设施的损坏和(hé)被盗。
6)通信(xìn)和操作管理。制定操作规(guī)程和(hé)职(zhí)责,确保信息处理设施的正确和安全操作;建(jiàn)立(lì)系统(tǒng)规(guī)划和验收准则,将系统失(shī)效(xiào)的风险降到****;防范(fàn)恶意代码和移(yí)动代码,保护软件(jiàn)和信息的完(wán)整性;做(zuò)好信(xìn)息(xī)备份和网络安全(quán)管(guǎn)理(lǐ),确保信息(xī)在(zài)网络中(zhōng)的安全,确保其支持(chí)性基础设(shè)施得到保护;建立媒(méi)体(tǐ)处置和安全的(de)规程,防(fáng)止资产损坏和业(yè)务活动的中(zhōng)断;防止信息(xī)和软件(jiàn)在组织之间交换时丢失(shī),修改或(huò)误用。
7)访问控制。制定访问控制策略,避(bì)免信息系统的非授(shòu)权访问,并让用(yòng)户(hù)了解其职责和义务,包括网络访(fǎng)问(wèn)控制,操作系统访问控制(zhì),应用系(xì)统和(hé)信息访问控制,监视系(xì)统访问和使用(yòng),定期(qī)检测未授权的活动;当(dāng)使用移动(dòng)办公和(hé)远程控制时(shí),也要确保信息安全。
8)系统采集、开发和(hé)维护。标示系统的安(ān)全(quán)要(yào)求(qiú),确保安全成为信息系(xì)统的(de)内置部分,控制应(yīng)用系统的安(ān)全(quán),防止(zhǐ)应(yīng)用系统中用户数据的丢失(shī),被修改或误(wù)用;通过加密手段保(bǎo)护信息(xī)的保密性,真实性和完(wán)整性;控制(zhì)对系统文(wén)件的(de)访问,确(què)保系统文档,源程序代码的安全;严格控制开发和支(zhī)持过程,维护应用系统(tǒng)软件和信息安(ān)全。
9)信息安全事故管(guǎn)理。报告信息(xī)安(ān)全(quán)事件(jiàn)和弱点,及时(shí)采取(qǔ)纠正措施,确保使用(yòng)持续(xù)有效的方法管理信息安(ān)全事故,并确保及时修复。
10)业务连续性(xìng)管理(lǐ)。目的是为(wéi)减少业务活动的(de)中断,是关键业务过程免受主要故(gù)障(zhàng)或天灾的(de)影响,并确保及时恢(huī)复。
11)符合性。信息系统的设计,操作,使用过程和管理要(yào)符合法律(lǜ)法规的要求,符合组织安全方针和标准,还(hái)要控制(zhì)系统审(shěn)计(jì),使(shǐ)信息审核过程的效力****化,干扰**小(xiǎo)化。

ISO27001的效益(yì)

1、通过定义、评估和控制风险,确保经营(yíng)的(de)持续性(xìng)和能力
2、减(jiǎn)少由(yóu)于合(hé)同违(wéi)规行为以及直接触犯(fàn)法律(lǜ)法规要求所造成的(de)责任
3、通过遵守(shǒu)国际标准(zhǔn)提高企业竞争能(néng)力(lì),提升企业形(xíng)象
4、明确定义所有组织的内部(bù)和外部的信(xìn)息(xī)接口目标(biāo):谨防数据的误用(yòng)和丢失
5、建立安全工具(jù)使(shǐ)用方针
6、谨防技术诀窍(qiào)的丢(diū)失(shī)
7、在(zài)组织内部增强安(ān)全意识
8、可作为公共会计审计的证据

认识ISO27001国(guó)际标准

ISO27001(BS7799/ISO17799)国际标准究竟是什么?它如何帮助一个组织更(gèng)加有效地管理信息安(ān)全?BS7799/ISO27001和ISO9001之间有什么联系?初次涉(shè)猎信息安全管理领域应该掌握(wò)哪些内(nèi)容(róng),以便组织发起信息(xī)安全管理(lǐ)项目?如何获得(dé)BS7799国(guó)际标准认证?

IT治理和信息安(ān)全

近年(nián)来企业(yè)高(gāo)层对内部治理需求越(yuè)来(lái)越实(shí)际(jì)而具体。随(suí)着信(xìn)息(xī)技术普遍渗(shèn)透(tòu)到企(qǐ)业组织中的各个方面,企业越来越依赖(lài)IT系统来处理(lǐ)和储存(cún)各种信息,以(yǐ)****业务(wù)正常运营(yíng),由此(cǐ)IT系统(tǒng)在企(qǐ)业(yè)治(zhì)理中的作z用越(yuè)来(lái)越明晰(xī),IT治(zhì)理也逐(zhú)渐被大(dà)多数企业认可,成为董(dǒng)事(shì)会和企(qǐ)业内部(bù)共同(tóng)关注(zhù)的领域。IT治理的基(jī)础部分是信(xìn)息安全保护——包括(kuò)确保信息的可用性、机(jī)密性和(hé)完整性(xìng)——这是其(qí)他IT治理环节实施的(de)前(qián)提。
与此同时,和信息安全相(xiàng)关的国际标准已经出台,成为标准IT治理框架中的一(yī)大基石。

信息安全和法律法规

业内人士对ISO27001认(rèn)证(zhèng)趋之若(ruò)鹜,这其中有两个关键性的驱动因素:一是日益严(yán)峻的信息安全威胁,二是不断增长的信息保护相关法规的需求。
本质上(shàng)说,信息安全威胁是全球(qiú)化的。一般(bān)来说,它将毫无(wú)差别(bié)地辐(fú)射到(dào)每一(yī)个拥有、使用电子信息的(de)机构(gòu)和个(gè)人(rén)。这(zhè)种威胁(xié)在因特网的环境中自动(dòng)生成并释(shì)放。更(gèng)严重的问题是,其他各种形式的危险也在整日(rì)威胁数(shù)据安全(quán),包括从外(wài)部攻击行为到内(nèi)部破坏(huài)、偷盗等(děng)一系列危险。
过去(qù)的十年内,围绕信息和数据(jù)安全问题建(jiàn)立起来的(de)法律法规体系从无到有、不(bú)断壮大,其中包括专(zhuān)门针对个人数据保护问(wèn)题的,也有(yǒu)针(zhēn)对企业财政(zhèng)、运营和风险(xiǎn)管理(lǐ)体系建(jiàn)立(lì)的法规保障问题的。一套(tào)正(zhèng)式规范的(de)信息(xī)安全管(guǎn)理体系应当可以(yǐ)提(tí)供****实践部署(shǔ)指导。目(mù)前,建立(lì)这样的管理体系逐渐(jiàn)成为诸多合规项目的必要(yào)条(tiáo)件(jiàn),与此同(tóng)时,针对该管理(lǐ)体系的认证逐渐成(chéng)为各种组织(包括政府部门)的热门需求,这(zhè)份(fèn)认证可以(yǐ)为他们带来重要的(de)潜在商业合同。

信(xìn)息安全和技术

绝(jué)大多数人认为(wéi)信息安全是一个纯粹的有关(guān)技术的话题,只有那些技术人员,尤其(qí)是计算机安(ān)全技术人员,才能够处理任何保(bǎo)障数据和计算机(jī)安全的相关(guān)事宜(yí)。这固然有一定道理。不过,实(shí)际上(shàng),恰恰是计算机用户本身需(xū)要考虑(lǜ)这样的问题:避免哪些威胁?在信息安全和(hé)信(xìn)息通畅中如(rú)何平衡取舍?的确如(rú)此,一旦用户给出答案,计(jì)算机安全专家**可(kě)以(yǐ)设计并执行一(yī)个技(jì)术方案以达成用户需求(qiú)。
在组织内部,管(guǎn)理(lǐ)层应当(dāng)负责决策,而(ér)不是(shì)IT部门。一个(gè)规范(fàn)的信息安全管理体系必须明确指出,组织机(jī)构董事会和(hé)管理(lǐ)层应当负责相关信息安全管理体(tǐ)系的决策,同时,这个体系也应当能够反映这种(zhǒng)决策,并且在(zài)运行过程中(zhōng)能够提供证据证(zhèng)明其有效性。
所以机构(gòu)组织内部的信息(xī)安全管理(lǐ)体系(xì)的建立项目不必由(yóu)一个技(jì)术专家来领导。事实上,技术专家在很多情况下起到相反的作用,可(kě)能会(huì)阻碍项目进程。因(yīn)此,这(zhè)个项目应该由质量(liàng)管理经理、总经理或者其他负责机(jī)构(gòu)内部重大职(zhí)能的执行主管负责主持。

信息(xī)安全标准

1995年,英国标准协会(BSI)发布BS7799标准,即ISMS(信息安全管理体系),旨在(zài)规范、引导信息安全管理(lǐ)体系的发(fā)展过程和实施情况。BS7799标准被外界认为(wéi)是一个不偏向(xiàng)任何技术、任何企业(yè)和产(chǎn)品供应商的价(jià)值中立的管理体系(xì)。只要实施得当,BS7799标准将(jiāng)帮助企业检查并确认其信息安全管理手段(duàn)和实施(shī)方案的(de)有效性。
从(cóng)企(qǐ)业外部来看,BS7799关注信息的可用性、机(jī)密性和完整(zhěng)性(xìng),至今(jīn)这(zhè)仍然是这项标准****达到的(de)目标。BS7799集中关(guān)注企业组织层面上(shàng)的风险规避(bì)(一定程(chéng)度上主要(yào)是商业和金融风险),而不包括(kuò)避免每一个潜(qián)在(zài)风险的保护措施——尽管它们至关重(chóng)要。
BS7799**初仅有一份(fèn)文档,且(qiě)具有明显(xiǎn)的实践指南性(xìng)质。也(yě)**是说,它为组织(zhī)提(tí)供信息安全指引,但(dàn)没(méi)有形成(chéng)规范,不能为外部第三方审计和(hé)认证等提供依据。随着(zhe)越(yuè)来(lái)越多的企业(yè)开(kāi)始认识到(dào)来自信息安(ān)全的(de)威(wēi)胁波(bō)及(jí)范围越来(lái)越广,影响程度越来越大,并且(qiě)关(guān)于数据和隐私权保(bǎo)护的法律法规不(bú)断出(chū)台,信(xìn)息安全标准认证的需求开始不(bú)断增加。
这(zhè)种需(xū)求的增加**终促成(chéng)了(le)该(gāi)项(xiàng)标(biāo)准****部分的出台,即标准规(guī)范。实践指南和标(biāo)准规范之间的关系是这样的:标准规范(fàn)是认证方案的基(jī)础,同时标准(zhǔn)规(guī)范要求实践者遵从实践指南的指引。
这个实践指(zhǐ)南(nán)**近(jìn)被修订(dìng)为ISO/IEC 17799:2005,标准规范也被修(xiū)订为ISO/IEC 27001:2005,逐步得到国际认同(tóng)。
许多国家也已发(fā)布了自己(jǐ)的相(xiàng)关标准(zhǔn),比如AS/NZS7799。这(zhè)些标准的国(guó)际化版本可以在世界任何国家(jiā)得到(dào)认可,这促使(shǐ)了**粱曜嫉(jí)南耍ǔ嘶(sī)诹(zōu)礁霰(xiàn)曜己(jǐ)怕牖∩系谋**粱曜家酝猓

认证与遵从

一个组织可以仅(jǐn)遵从(cóng)ISO17799来(lái)建(jiàn)立(lì)和发展ISMS(信息安(ān)全(quán)管理体系),因为实践指南(nán)中的内容是普遍适用的。然而,由于ISO17799并非基于认证(zhèng)框架,它不具(jù)备关于通过(guò)认证(zhèng)所必需的(de)信息安全管理体系的要(yào)求。而ISO/EC27001则包含这(zhè)些具体详尽的管理体系认证要(yào)求(qiú)。在技术层(céng)面来讲,这**表明一个正在(zài)独立运用ISO17799的(de)机构组织,****符合实践指南的要求(qiú),但是这并不足以让外界认可(kě)其已(yǐ)经达到认证框架所制定的(de)认证要求。不同的是,一个正在同时运用ISO27001和ISO17799标准(zhǔn)的机构(gòu)组织,可(kě)以建立一个****符合认证具体要求的ISMS,同时(shí)这个ISMS体(tǐ)系也(yě)符合(hé)实(shí)践指南的要求,于是,这(zhè)一组织**可以获(huò)得外界的认同,即(jí)获得(dé)认证。

ISO27001认证要求

ISO27001标准是为了(le)与其他管理标准,比如ISO9000和ISO14001等相互兼容而设计(jì)的,这(zhè)一标(biāo)准中的编号系统和文件管理需求的设计初衷,**是为了提供良好的兼(jiān)容性,使得组织可以建立起这样(yàng)一套(tào)管(guǎn)理体系:能够在(zài)****程(chéng)度上(shàng)融(róng)入这个组织正在使用的其(qí)他任何管理体系。一般(bān)来(lái)说(shuō),组织通常会使用为(wéi)其ISO9000认证或者其他(tā)管理(lǐ)体系认证提供(gòng)认(rèn)证服(fú)务的机构,来提供ISO27001认证服务(wù)。正是因为这个缘故,在(zài)ISMS体系建立的过程(chéng)中,质(zhì)量(liàng)管理的经验举足轻重。
但是有一(yī)点需要注意,一个组织如果没(méi)有事先拥有并使用任(rèn)何形式(shì)的管理体(tǐ)系(xì),并不意味着(zhe)该组织不能(néng)进行(háng)ISO27001认证。这(zhè)种情况下,该组织**应当从经济利益(yì)考虑,选(xuǎn)择一(yī)个合适的管理(lǐ)体系的认(rèn)证机构来提供(gòng)认(rèn)证服务。认证机构必(bì)须(xū)得(dé)到一个(gè)国家鉴定机构的委(wěi)托授(shòu)权,才(cái)能为认证组织(zhī)提供认证服务,并发放认证证书。大多数国家都有自己(jǐ)的国(guó)家(jiā)鉴定机(jī)构(比如:英国UKAS),任何获得该机构授权进行(háng)ISMS认证(zhèng)的(de)机构均记录在案。

风险评估应对计(jì)划

任(rèn)何一个ISMS体系的建立和开发都应当满足组织独特的需求。每个组织不仅都有自己独特的业务模式(shì)、运营目(mù)标(biāo)、形象特(tè)点和内部文化,他们对(duì)待风(fēng)险的态度倾向也大(dà)相径庭。换句话说,同(tóng)一个东西,一个(gè)机构(gòu)组织认为是必须提防的威胁,在另一个组织看来可能是一(yī)个必(bì)须抓(zhuā)住(zhù)的机遇。同(tóng)样地(dì),各个机构组织对(duì)于既(jì)有风(fēng)险防护(hù)的投入也(yě)参差不(bú)齐。基于以上或(huò)者其他原(yuán)因,每(měi)个(gè)运行ISMS的组织,其内部成员必须对风险(xiǎn)评(píng)估有一个(gè)共识(shí),这个风险评估的方(fāng)法(fǎ)论、结果发现(xiàn)和推(tuī)荐解决方式都必须得到(dào)董事会(huì)的首肯。

ISMS项目(mù)和PDCA流程

ISMS项目(mù)很复杂,可能持续若(ruò)干个月甚至若(ruò)干年,涉及整个(gè)机构(gòu)组织以及从管理(lǐ)层(céng)到收发部门(mén)的每(měi)个成员(yuán)。ISO27001认证诞生时间(jiān)短(duǎn),成功的案例比较少。从务实(shí)的角度考虑(lǜ),这表明在项目计划过程(chéng)中,必须尽早对(duì)这(zhè)些仅有的(de)指导性的书(shū)籍(jí)和案例(lì)进行分析和研究。
ISO27001标准指(zhǐ)导一个企业如何着手开展(zhǎn)ISMS项目(mù),并且关(guān)注整个项目(mù)进程(chéng)中的若干重(chóng)要元素(sù)。
1950年W. Edwards Deming提出PDCA流(liú)程(chéng),即计划(Plan)-执行(Do)-检查(Check)-提升(Act)过程,意在说明业(yè)务流程应当(dāng)是(shì)不断改进(jìn)的,该方法使(shǐ)得(dé)职能部(bù)门(mén)经理可以识别出那些(xiē)需要修正的环节并进行修正。这个流程以及流程的改进,都必须遵循这样一个(gè)过(guò)程(chéng):先(xiān)计划(huá),再(zài)执行,而后对其运行结果进行评(píng)估,紧接着按照计划的具体要求对(duì)该(gāi)评估进行复查(chá),而(ér)后寻找到任何与计划(huá)不符的结果偏差(即潜(qián)在改(gǎi)进的可能性),**后向(xiàng)管理层提(tí)出如何运行的**终报告。

ISO27001认证审核费用及周期

除了(le)组织自身投入之外(wài),ISO27001 认证审核费用主要体现在(zài)聘请(qǐng)第三方认证机构(gòu)及审核员方面了。在组织向认证(zhèng)机(jī)构提出申请(qǐng)之后,认证(zhèng)机构会初步了解组(zǔ)织(zhī)现状,确定(dìng)审(shěn)核范围,提出(chū)审核(hé)报价。认证机构的报(bào)价(jià)通常是根(gēn)据(jù)其投入的(de)时间和人员(yuán)来确定的,决定因素包括:
1、受审(shěn)核组织的员工数量;
2、纳入审核范围的信息量;
3、场所数量;
4、组织与(yǔ)外(wài)界的关联;
5、组织 IT 的复杂性;
6、组(zǔ)织类型和业(yè)务性质等(děng)。
除了费用问题,认证审核的周期通常也是(shì)组织比较关心的。一(yī)般来(lái)说,从(cóng)组织启动 ISMS建设项目开(kāi)始,到(dào)**终通过审核,至(zhì)少要有(yǒu)半年时间(不包括获取(qǔ)证(zhèng)书的时间(jiān))。对于很多因为外部驱动力而决(jué)心实施 ISO27001 认证项(xiàng)目的组(zǔ)织来说,提早进行规划是必要的。[6] 
 上(shàng)一个:国军标GJB9001B
  下(xià)一个:QS生(shēng)产(chǎn)许可
  打印(yìn)本(běn)页(yè) || 关闭窗口

绵阳(yáng)万象城在线登录 和艾斯鸥企业(yè)管理(lǐ)咨(zī)询有限公(gōng)司   联系人:李经理   手机:13340909755    13568275377   座机:0816-2820519  
传(chuán)真:0816-2820519   Q  Q:378361717   邮箱:lcfjy2004@163.com   地(dì)址:绵阳(yáng)市(shì)农(nóng)科(kē)区德政小区
公司网易博客: http://lcfjy2004.blog.163.com/  蜀ICP备14028546号-1
友情链接: ·中国CQC质量(liàng)认证(zhèng)中 ·上海(hǎi)SGS通标(biāo)认证 ·上(shàng)海DAS认证(zhèng) ·美国NSF国际认证(zhèng) ·四川省(shěng)质量技术监督局 ·中国国(guó)家认证认可监督
网络经济主体信息

万象城在线登录 - 万象城(中国)-万象城(中国)

万象城在线登录 - 万象城(中国)-万象城(中国)