歡迎訪問本站(zhàn)!
歡迎訪問本站(zhàn)!
茗逸泰河北企業管理有限公司
聯系人(rén):史先生(shēng)
電(diàn)話(huà):18831187358(電(diàn)話(huà)及微信)
地址:河(hé)北省石家(jiā)莊市中華南大(dà)街(jiē)473号
ISO 27000信息安 全管理(lǐ)體(tǐ)系(ISMS)
咨詢電(diàn)話(huà):史先生(shēng)188 3118 7358
目錄
1、項目簡介
2、信息安 全管理(lǐ)體(tǐ)系認證業務範圍
3、建立ISO27000 信息安 全管理(lǐ)體(tǐ)系的步驟
一、項目簡介
信息安 全管理(lǐ)實用規則ISO/IEC27001的前身為(wèi)英國的BS7799标準,該标準由英國标準協會(huì)(BSI)于1995年2月提出,并于1995年5月修訂而成的。1999年BSI重新修改了該标準
BS7799分為(wèi)兩個(gè)部分:
BS7799-1,信息安 全管理(lǐ)實施規則、 BS7799-2,信息安 全管理(lǐ)體(tǐ)系規範。
第 一部分:對信息安 全管理(lǐ)給出建議,供負責在其組織啓動、實施或維護安 全的人(rén)員使用
*部分:說明(míng)了建立、實施和(hé)文件化信息安 全管理(lǐ)體(tǐ)系(ISMS)的要求,規定了根據獨立組織的需要應實施安 全控制(zhì)的要求。
建立健全信息安 全管理(lǐ)體(tǐ)系對企業的安 全管理(lǐ)工作(zuò)和(hé)企業的發展意義重大(dà)。首先,此體(tǐ)系的建立将提高(gāo)員工信息安 全意識,提升企業信息安 全管理(lǐ)的水(shuǐ)平,增強組織抵禦災難性事件的能力,是企業信息化建設中的重要環節,必将大(dà)大(dà)提高(gāo)信息管理(lǐ)工作(zuò)的安 全性和(hé)可(kě)靠性,使其更好地服務于企業的業務發展。其次,通(tōng)過信息安 全管理(lǐ)體(tǐ)系的建設,可(kě)有(yǒu)效提高(gāo)對信息安 全風險的管控能力,通(tōng)過與等級保護、風險評估等工作(zuò)接續起來(lái),使得(de)信息安 全管理(lǐ)更加科學有(yǒu)效。後,信息安 全管理(lǐ)體(tǐ)系的建立将使得(de)企業的管理(lǐ)水(shuǐ)平與國際先進水(shuǐ)平接軌,從而成長為(wèi)企業向國際化發展與合作(zuò)的有(yǒu)力支撐。
二、信息安 全管理(lǐ)體(tǐ)系認證業務範圍
認證用标準: GB/T 22080
注:分類依據《CNAS-SC170》
三、建立ISO27000 信息安 全管理(lǐ)體(tǐ)系的步驟
1、信息安 全管理(lǐ)體(tǐ)系策劃和(hé)準備
策劃和(hé)準備階段主要是做(zuò)好建立信息安 全管理(lǐ)體(tǐ)系的各種前期工作(zuò)。內(nèi)容包括教育培訓、拟定計(jì)劃、安 全管理(lǐ)發展情況調研,以及相關資源的配置與管理(lǐ)。
2、确定信息安 全管理(lǐ)體(tǐ)系适用的範圍
信息安 全管理(lǐ)體(tǐ)系的範圍*是需要*進行(xíng)管理(lǐ)的安 全領域。組織需要根據自己的實際情況,可(kě)以在整個(gè)組織範圍內(nèi)、也可(kě)以在個(gè)别重要部門(mén)或領域內(nèi)實施。 在本階段的工作(zuò),應将組織劃分成不同的信息安 全控制(zhì)領域,這樣做(zuò)易于組織對有(yǒu)不同需求的領域進行(xíng)适當的信息安 全管理(lǐ)。在定義适用範圍時(shí),應*考慮組織的 适用環境、适用人(rén)員、現有(yǒu)信息系統、現有(yǒu)信息資産及它們之間(jiān)相互關系等。
3、現狀調查與風險評估
依據有(yǒu)關信息安 全技(jì)術(shù)與管理(lǐ)标準,對信息系統及由其生(shēng)成、處理(lǐ)、傳輸和(hé)存儲的信息的機密性、完整性和(hé)可(kě)用性等安 全屬性進行(xíng)調研和(hé)評價,以及評估信息資産面臨的威脅以及導緻安 全事件發生(shēng)的可(kě)能性,并結合安 全事件所涉及的信息資産價值來(lái)判斷安 全事件一旦發生(shēng)對組織造成的影(yǐng)響。
4、建立信息安 全管理(lǐ)框架
建立信息安 全管理(lǐ)體(tǐ)系要規劃和(hé)建立一個(gè)合理(lǐ)的信息安 全管理(lǐ)框架,要從整體(tǐ)和(hé)全局的視(shì)角,從信息系統的所有(yǒu)層面進行(xíng)整體(tǐ)安 全建設,從信息系統本身出 發,根據業務性質、組織特征、信息資産狀況和(hé)技(jì)術(shù)條件,建立信息資産清單,進行(xíng)風險分析、需求分析和(hé)選擇安 全控制(zhì),準備适用性聲明(míng)等步驟,從而建立安 全體(tǐ) 系并提出安 全解決方案 。
5、信息安 全管理(lǐ)文件體(tǐ)系編寫
建立并保持一個(gè)文件化的信息安 全管理(lǐ)體(tǐ)系是ISO/IEC27001:2005标準的總體(tǐ)要求,編寫信息安 全管理(lǐ)體(tǐ)系文件是建立信息安 全管理(lǐ)體(tǐ)系的 基礎工作(zuò),也是一個(gè)組織實現風險控制(zhì)、評價和(hé)改進信息安 全管理(lǐ)體(tǐ)系、實現持續改進不可(kě)少(shǎo)的依據。在信息安 全管理(lǐ)體(tǐ)系建立的文件中應該包含有(yǒu):安 全方針文 檔、适用範圍文檔、風險評估文檔、實施與控制(zhì)文檔、适用性聲明(míng)文檔。
6、信息安 全管理(lǐ)體(tǐ)系的運行(xíng)與改進
信息安 全管理(lǐ)體(tǐ)系文件編制(zhì)完成以後,組織應按照文件的控制(zhì)要求進行(xíng)審核與批準并發布實施,*此,信息安 全管理(lǐ)體(tǐ)系将進入運行(xíng)階段。在此期間(jiān),組織應 加強運作(zuò)力度,充分發揮體(tǐ)系本身的各項功能,及時(shí)發現體(tǐ)系策劃中存在的問題,找出問題根源,采取糾正措施,并按照更改控制(zhì)程序要求對體(tǐ)系予以更改,以達到 進一步完善信息安 全管理(lǐ)體(tǐ)系的目的。
7、信息安 全管理(lǐ)體(tǐ)系審核
體(tǐ)系審核是為(wèi)獲得(de)審核證據,對體(tǐ)系進行(xíng)客觀的評價,以确定滿足審核準則的程度所進行(xíng)的系統的、獨立的并形成文件的檢查過程。體(tǐ)系審核包括內(nèi)部審核和(hé) 外部審核(第三方審核)。內(nèi)部審核一般以組織名義進行(xíng),可(kě)作(zuò)為(wèi)組織自我合格檢查的基礎;外部審核由外部獨立的組織進行(xíng),可(kě)以提供符合要求(如 ISO/IEC27001)的認證或注冊。
信息安 全管理(lǐ)體(tǐ)系的建立是一個(gè)目标疊加的過程,是在不斷發展變化的技(jì)術(shù)環境中進行(xíng)的,是一個(gè)動态的、閉環的風險管理(lǐ)過程,要想獲得(de)有(yǒu)效的成果,需要 從評估、防護、監督、響應和(hé)恢複,這些(xiē)都需要從上(shàng)到下的參與和(hé)重視(shì),否則隻能是流于形式與過程,起不到真正有(yǒu)效的安 全控制(zhì)的目的和(hé)作(zuò)用。
版權所有(yǒu)@茗逸泰河北企業管理有限公司保留一切權利