高清无码免费在线_欧美精品一级久久片_了解最新香蕉午夜视频_成人国产天堂av_一区二区在线国中文自慰_奶茶视频有容乃大_欧美一级高清免费播放_91人妻中文字幕无码专区_成人爽片免费看_秋霞午夜理论影院

企業(yè)為什么要做ISO27001認(rèn)證

時間:2018-10-31 16:01:52來源:智天下顧問

一 企業(yè)為什么要做ISO27001認(rèn)證
二、        為什么需要信息安全?
在人類邁入信息息時代的今天,組織在分享著現(xiàn)代科技帶來便利的同時,也面臨著信息安全的威脅。如何既能享用現(xiàn)代信息系統(tǒng)的快捷方便,又能充分防范信息的損壞和泄露,已成為當(dāng)前企業(yè)迫切需要解決的問題。專家研究表明,信息安全在于保證信息的保密性、完整性、可用性三種屬性不被破壞。信息安全可使信息避免一系列威脅,保障業(yè)務(wù)的連續(xù)性,最大限度地減少業(yè)務(wù)的損失,獲取相關(guān)方的信任,以最大限度地獲得投資和業(yè)務(wù)的回報。
“七分管理,三分技術(shù)”的信息安全原則表明,解決信息安全問題不應(yīng)僅從技術(shù)方著手,同時更應(yīng)加強(qiáng)信息安全的管理工作,通過建立正規(guī)的信息安全管理體系以達(dá)到系統(tǒng)、全面地解決信息安全問題。ISO/IEC 27001標(biāo)準(zhǔn)目前是國際上公認(rèn)的實(shí)現(xiàn)信息安全管理的最佳標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)強(qiáng)調(diào)以風(fēng)險管理為基礎(chǔ)的、全面的安全管理,目前該方法在世界范圍內(nèi)得到了廣泛的認(rèn)可。
三、        ISO27001:2005主要內(nèi)容
ISO 27001:2005是建立信息安全管理體系(ISMS)的一套需求規(guī)范(Information Security. Security techniques. Information security management systems. Requirements),其中詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的要求,指出實(shí)施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險評估標(biāo)準(zhǔn),當(dāng)然,如果要得到最終的認(rèn)證(對依據(jù)ISO 27001:2005建立的ISMS進(jìn)行認(rèn)證),還有一系列相應(yīng)的注冊認(rèn)證過程。作為一套管理標(biāo)準(zhǔn),ISO 27001:2005指導(dǎo)相關(guān)人員怎樣去應(yīng)用ISO27002:2005,其最終目的,還在于建立適合組織需要的信息安全管理體系(ISMS)。
下表以標(biāo)準(zhǔn)原文目錄格式,列舉說明了ISO 27001:2005的主要內(nèi)容。
    一級目錄
    二級目錄
    內(nèi)容簡介
    前言
    發(fā)布者,目的,內(nèi)容概要,其他說明。
    0. 簡介
    0.1 概要
    本標(biāo)準(zhǔn)對組織的價值所在。
    0.2 過程方法
    對過程方法進(jìn)行解釋,引入PDCA模型。
    0.3 與其他管理體系的兼容
    強(qiáng)調(diào)與ISO9001和ISO14001的一致性。
    1. 范圍
    1.1 概要
    本標(biāo)準(zhǔn)規(guī)定了ISMS建設(shè)的要求及根據(jù)需要實(shí)施安全控制的要求。
    1.2 應(yīng)用
    本標(biāo)準(zhǔn)適用于所有的組織??刂七x擇與否應(yīng)根據(jù)風(fēng)險評估和適用法規(guī)需求。
    2. 標(biāo)準(zhǔn)引用
    引用ISO9001、ISO17799和ISO Guide 73:2002
    3. 術(shù)語和定義
    資產(chǎn),CIA,信息安全,信息安全事件,ISMS,風(fēng)險評估與管理,SOA等。
    4. 信息安全管理體系
    4.1 一般要求
    在組織全面的業(yè)務(wù)活動和風(fēng)險環(huán)境中,應(yīng)該開發(fā)、實(shí)施、維護(hù)并持續(xù)改進(jìn)一個文檔化的ISMS。
    4.2 建立并管理ISMS
    4.2.1 建立ISMS(Plan)
    ? 定義ISMS的范圍
    ? 定義ISMS方針
    ? 定義系統(tǒng)的風(fēng)險評估途徑
    ? 識別風(fēng)險
    ? 評估風(fēng)險
    ? 識別并評價風(fēng)險處理措施
    ? 選擇用于風(fēng)險處理的控制目標(biāo)和控制
    ? 準(zhǔn)備適用性聲明(SoA)
    ? 取得管理層對殘留風(fēng)險的承認(rèn),并授權(quán)實(shí)施和操作ISMS
    4.2.2 實(shí)施和操作ISMS(Do)
    ? 制定風(fēng)險處理計劃
    ? 實(shí)施風(fēng)險處理計劃
    ? 實(shí)施所選的控制措施以滿足控制目標(biāo)
    ? 實(shí)施培訓(xùn)和意識程序
    ? 管理操作
    ? 管理資源(參見5.2)
    ? 實(shí)施能夠激發(fā)安全事件檢測和響應(yīng)的程序和控制
    4.2.3 監(jiān)視和復(fù)查ISMS(Check)
    ? 執(zhí)行監(jiān)視程序和控制
    ? 對ISMS的效力進(jìn)行定期復(fù)審
    ? 復(fù)審殘留風(fēng)險和可接受風(fēng)險的水平
    ? 按照預(yù)定計劃進(jìn)行內(nèi)部ISMS審計
    ? 定期對ISMS進(jìn)行管理復(fù)審
    ? 記錄活動和事件可能對ISMS的效力或執(zhí)行力度造成影響
    4.2.4 維護(hù)并改進(jìn)ISMS(Act)
    ? 對ISMS實(shí)施可識別的改進(jìn)
    ? 采取恰當(dāng)?shù)募m正和預(yù)防措施
    ? 與所有利益伙伴溝通
    ? 確保改進(jìn)成果滿足其預(yù)期目標(biāo)
    4.3 文件要求
    4.3.1 概要-說明ISMS應(yīng)該包含的文件。
    4.3.2 對文件的控制- ISMS所要求的文件應(yīng)該妥善保護(hù)和控制。
    4.3.3 對記錄的控制-應(yīng)該建立并維護(hù)記錄。
    5. 管理層責(zé)任
    5.1 管理層責(zé)任
    說明管理層在ISMS建設(shè)過程中應(yīng)該承擔(dān)的責(zé)任。
    5.2 對資源的管理
    5.2.1 資源提供-組織應(yīng)該確定并提供ISMS相關(guān)所有活動必要的資源
    5.2.2 培訓(xùn)、意識和能力-通過培訓(xùn),組織應(yīng)該確保所有在ISMS中承擔(dān)責(zé)任的人能夠勝任其職
    6. ISMS內(nèi)部審計
    組織應(yīng)該通過定期的內(nèi)部審計來確定ISMS的控制目標(biāo)、控制、過程和程序滿足相關(guān)要求。
    7. ISMS管理評審
    7.1 概要
    管理層應(yīng)該對組織的ISMS定期進(jìn)行評審,確保其持續(xù)適宜、充分和有效。
    7.2 評審輸入
    評審時需要的輸入資料,包括內(nèi)審結(jié)果。
    7.3 評審輸出
    評審成果,應(yīng)該包含任何決策及相關(guān)行動。
    8. ISMS改進(jìn)
    8.1 持續(xù)改進(jìn)
    組織應(yīng)該借助信息安全策略、安全目標(biāo)、審計結(jié)果、受監(jiān)視的事件分析、糾正性和預(yù)防性措施、管理復(fù)審來持續(xù)改進(jìn)ISMS的效力。
    8.2 糾正措施
    組織應(yīng)該采取措施,消除并實(shí)施和操作ISMS相關(guān)的不一致因素,避免其再次出現(xiàn)。
    8.3 預(yù)防措施
    為了防止將來出現(xiàn)不一致,應(yīng)該確定防護(hù)措施。所采取的預(yù)防措施應(yīng)與潛在問題的影響相適宜。
    附錄A
    控制目標(biāo)和控制
    A.5 安全策略
    A.6 組織信息安全
    A.7 資產(chǎn)管理
    A.8 人力資源管理
    A.9 物理和環(huán)境安全
    以列表(表A.1)方式展示:A.5到A.15所列的控制目標(biāo)和控制,是直接從ISO/IEC 17799:2005正文5到15那里引用過來的。此處列舉的控制目標(biāo)和控制,應(yīng)該被4.2.1規(guī)定的ISMS過程所選擇。
    A.10 通信和操作管理
    A.11 訪問控制
    A.12 信息系統(tǒng)獲取、開發(fā)和維護(hù)
    A.13 信息安全事件管理
    A.14 業(yè)務(wù)連續(xù)性管理
    
					                              
					
                                        
    延伸閱讀
    
					
    
                                            
                                                                 
					
    				
                                
    
                                    熱門標(biāo)簽:
                                    行業(yè)新聞				
    			
			
    
                           
                            
    
					
    培訓(xùn)課程
    
					
				
                                
			
    
		
	
?