歡迎訪問本站!
歡迎訪問本站!
河北(běi)易昆企業管理咨詢有限公司
聯系人:史先生(shēng)
電話(huà):18831187358(電話(huà)及微信)
地址:河北(běi)省石家莊市中(zhōng)華南(nán)大(dà)街473号
ISO 27000信息安 全管理體(tǐ)系(ISMS)
咨詢電話(huà):史先生(shēng)188 3118 7358
目錄
1、項目簡介
2、信息安 全管理體(tǐ)系認證業務範圍
3、建立ISO27000 信息安 全管理體(tǐ)系的步驟
一(yī)、項目簡介
信息安 全管理實用規則ISO/IEC27001的前身爲英國的BS7799标準,該标準由英國标準協會(BSI)于1995年2月提出,并于1995年5月修訂而成的。1999年BSI重新修改了該标準
BS7799分(fēn)爲兩個部分(fēn):
BS7799-1,信息安 全管理實施規則、 BS7799-2,信息安 全管理體(tǐ)系規範。
第 一(yī)部分(fēn):對信息安 全管理給出建議,供負責在其組織啓動、實施或維護安 全的人員(yuán)使用
*部分(fēn):說明了建立、實施和文件化信息安 全管理體(tǐ)系(ISMS)的要求,規定了根據獨立組織的需要應實施安 全控制的要求。
建立健全信息安 全管理體(tǐ)系對企業的安 全管理工(gōng)作和企業的發展意義重大(dà)。首先,此體(tǐ)系的建立将提高員(yuán)工(gōng)信息安 全意識,提升企業信息安 全管理的水平,增強組織抵禦災難性事件的能力,是企業信息化建設中(zhōng)的重要環節,必将大(dà)大(dà)提高信息管理工(gōng)作的安 全性和可靠性,使其更好地服務于企業的業務發展。其次,通過信息安 全管理體(tǐ)系的建設,可有效提高對信息安 全風險的管控能力,通過與等級保護、風險評估等工(gōng)作接續起來,使得信息安 全管理更加科學有效。後,信息安 全管理體(tǐ)系的建立将使得企業的管理水平與國際先進水平接軌,從而成長爲企業向國際化發展與合作的有力支撐。
二、信息安 全管理體(tǐ)系認證業務範圍
認證用标準: GB/T 22080
注:分(fēn)類依據《CNAS-SC170》
三、建立ISO27000 信息安 全管理體(tǐ)系的步驟
1、信息安 全管理體(tǐ)系策劃和準備
策劃和準備階段主要是做好建立信息安 全管理體(tǐ)系的各種前期工(gōng)作。内容包括教育培訓、拟定計劃、安 全管理發展情況調研,以及相關資(zī)源的配置與管理。
2、确定信息安 全管理體(tǐ)系适用的範圍
信息安 全管理體(tǐ)系的範圍*是需要*進行管理的安 全領域。組織需要根據自己的實際情況,可以在整個組織範圍内、也可以在個别重要部門或領域内實施。 在本階段的工(gōng)作,應将組織劃分(fēn)成不同的信息安 全控制領域,這樣做易于組織對有不同需求的領域進行适當的信息安 全管理。在定義适用範圍時,應*考慮組織的 适用環境、适用人員(yuán)、現有信息系統、現有信息資(zī)産及它們之間相互關系等。
3、現狀調查與風險評估
依據有關信息安 全技術與管理标準,對信息系統及由其生(shēng)成、處理、傳輸和存儲的信息的機密性、完整性和可用性等安 全屬性進行調研和評價,以及評估信息資(zī)産面臨的威脅以及導緻安 全事件發生(shēng)的可能性,并結合安 全事件所涉及的信息資(zī)産價值來判斷安 全事件一(yī)旦發生(shēng)對組織造成的影響。
4、建立信息安 全管理框架
建立信息安 全管理體(tǐ)系要規劃和建立一(yī)個合理的信息安 全管理框架,要從整體(tǐ)和全局的視角,從信息系統的所有層面進行整體(tǐ)安 全建設,從信息系統本身出 發,根據業務性質、組織特征、信息資(zī)産狀況和技術條件,建立信息資(zī)産清單,進行風險分(fēn)析、需求分(fēn)析和選擇安 全控制,準備适用性聲明等步驟,從而建立安 全體(tǐ) 系并提出安 全解決方案 。
5、信息安 全管理文件體(tǐ)系編寫
建立并保持一(yī)個文件化的信息安 全管理體(tǐ)系是ISO/IEC27001:2005标準的總體(tǐ)要求,編寫信息安 全管理體(tǐ)系文件是建立信息安 全管理體(tǐ)系的 基礎工(gōng)作,也是一(yī)個組織實現風險控制、評價和改進信息安 全管理體(tǐ)系、實現持續改進不可少的依據。在信息安 全管理體(tǐ)系建立的文件中(zhōng)應該包含有:安 全方針文 檔、适用範圍文檔、風險評估文檔、實施與控制文檔、适用性聲明文檔。
6、信息安 全管理體(tǐ)系的運行與改進
信息安 全管理體(tǐ)系文件編制完成以後,組織應按照文件的控制要求進行審核與批準并發布實施,*此,信息安 全管理體(tǐ)系将進入運行階段。在此期間,組織應 加強運作力度,充分(fēn)發揮體(tǐ)系本身的各項功能,及時發現體(tǐ)系策劃中(zhōng)存在的問題,找出問題根源,采取糾正措施,并按照更改控制程序要求對體(tǐ)系予以更改,以達到 進一(yī)步完善信息安 全管理體(tǐ)系的目的。
7、信息安 全管理體(tǐ)系審核
體(tǐ)系審核是爲獲得審核證據,對體(tǐ)系進行客觀的評價,以确定滿足審核準則的程度所進行的系統的、獨立的并形成文件的檢查過程。體(tǐ)系審核包括内部審核和 外(wài)部審核(第三方審核)。内部審核一(yī)般以組織名義進行,可作爲組織自我(wǒ)合格檢查的基礎;外(wài)部審核由外(wài)部獨立的組織進行,可以提供符合要求(如 ISO/IEC27001)的認證或注冊。
信息安 全管理體(tǐ)系的建立是一(yī)個目标疊加的過程,是在不斷發展變化的技術環境中(zhōng)進行的,是一(yī)個動态的、閉環的風險管理過程,要想獲得有效的成果,需要 從評估、防護、監督、響應和恢複,這些都需要從上到下(xià)的參與和重視,否則隻能是流于形式與過程,起不到真正有效的安 全控制的目的和作用。
版權所有@河北(běi)易昆企業管理咨詢有限公司保留一(yī)切權利