<ins id="pbnwb"><video id="pbnwb"><var id="pbnwb"></var></video></ins>
    

    1. <kbd id="pbnwb"><video id="pbnwb"></video></kbd>
      <tr id="pbnwb"></tr>
      <ins id="pbnwb"><video id="pbnwb"><var id="pbnwb"></var></video></ins><menuitem id="pbnwb"><video id="pbnwb"></video></menuitem>
    2. <menuitem id="pbnwb"><acronym id="pbnwb"></acronym></menuitem>
                您现在的位置: 网站首页  > ISOIEC27001
      ISOIEC27001


      一、 信息安全管理体系标准业务介绍 

      1、 背景介绍

         信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。 安全问题所带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损失:

         ●直接损失:丢失订单,减少直接收入,损失生产率;

         ●间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市值或政治声誉;

         ●法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。

         所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。

         俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。

      2、标准发展

         目前,在信息安全管理体系方面,ISO/IEC 27001:2013――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织,如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。

         2008年6月,ISO27001同等转换成国内标准GB/T22080-2008,并在2008年11月1日正式实施。

         经过多年的发展,信息安全管理体系国际标准已经出版了一系列的标准,其中ISO/IEC27001是可用于认证的标准,其他标准可为实施信息安全管理的组织提供实施的指南。目前各标准的现行状态如下表1:。

         2013年10月,为适应信息安全管理的发展趋势,ISO组织发布了ISO/IEC 27001:2013-信息安全管理体系标准,新版标准相对旧版标准作了较大修订,为组织加强信息安全管理提供的指导。

      表1  ISO27000标准族现行

      序号标准编号标准名称现行状态

      1ISO27000信息技术 – 安全技术 - 信息安全管理体系 - 概论及术语2009年出版

      2ISO27001信息技术 – 安全技术 - 信息安全管理体系 - 要求2013年出版

      3ISO/IEC 27002信息技术 – 安全技术 - 信息安全管理 - 为规范2013年出版

      4ISO/IEC 27003信息技术 – 安全技术 - 信息安全管理体系 - 实施指南2010年出版

      5ISO/IEC 27004信息技术 – 安全技术 - 信息安全管理- 测量2009年出版

      6ISO/IEC 27005信息技术 – 安全技术 - 信息安全风险管理2011年出版

      7ISO/IEC 27006信息技术 – 安全技术 - 认证机构要求2011年出版

      8ISO/IEC 27007信息技术 – 安全技术 - 信息安全管理体系审核指南2011年出版

      9ISO/IEC TR 27008信息安全控制措施审核指南2011年出版

      10ISO/IEC 27010行业间交流的信息安全管理2012年出版

      11ISO/IEC 27011信息技术 – 安全技术 - 基于ISO/IEC 27002通讯行业信息安全管理体系2008年出版

      12ISO/IEC 27013信息技术 – 安全技术 -  ISO/IEC 20000-1及 ISO/IEC 27001一体化实施指南2012年出版

      13ISO/IEC 27014信息安全治理框架工作组草案

      14ISO/IEC TR 27015金融及保险行业信息安全管理体系2012年出版

      15ISO/IEC 27031信息技术 – 安全技术 – 业务连续性的ICT准备能力指南2011年出版

      16ISO/IEC 27032信息技术 – 安全技术 – 网络空间安全指南2012年出版

      17ISO/IEC 27033-1信息技术 – 安全技术 – 网络安全 – 第1部分:概述和概念2009年出版

      18ISO/IEC 27033-2信息技术 – 安全技术 – 网络安全 – 第2部分:设计和实施网络安全指南2012年出版

      19ISO/IEC 27033-3信息技术 – 安全技术 – 网络安全 – 第3部分:参考网络情境 – 威胁、设计技术和控制活动2010年出版

      20ISO/IEC 27033-4信息技术 – 安全技术 – 网络安全 – 第4部分:使用安全网关确保网络间的通信安全 – 威胁、设计技术和控制活动工作组草案

      21ISO/IEC 27034-1应用安全 – 第1部分:概述和概念2011年出版

      22ISO/IEC 27034-2应用安全 – 第2部分:组织规范性框架批准的新项目

      23ISO/IEC 27034-3应用安全 – 第3部分:应用安全管理过程批准的新项目

      24ISO/IEC 27034-4应用安全 – 第4部分:应用安全确认批准的新项目

      25ISO/IEC 27034-5应用安全 – 第5部分:协议和应用安全控制的数据结构批准的新项目

      26ISO/IEC 27035信息技术 – 安全技术 – 信息安全事件管理2011年出版  

      27ISO/IEC 27036信息技术 – 安全技术 – 外包安全指南批准的新项目

      28ISO/IEC 27037识别、收集、获取和保存数字证据指南2012年出版

      29ISO/IEC 27038信息技术 – 安全技术 – 数字化修订详述批准的新项目

      3、ISO27001标准内容简介

         ISO27001:2013标准包括14控制领域(见表2)、35个控制目标和113项控制措施,为组织提供全方位的信息安全保障。

      表2  ISO27001:2013版标准控制目标

      控制域控制目标

      A.5 安全方针A.5.1信息安全方针

      A.6 信息安全组织A.6.1 内部组织

      A.6.2 移动设备和远程工作

      A.7 人力资源安全A.7.1 雇佣前

      A.7.2 雇佣期间

      A.7.3 雇佣终止或变更

      A.8 资产管理A.8.1 资产责任

      A.8.2 信息分类

      A.8.3 介质处置

      A.9 访问控制A.9.1 安全区域

      A.9.2 用户访问管理

      A.9.3 用户职责

      A.9.4系统和应用访问控制

      A.10 密码学A.10.1 密码控制

      A.11 物理和环境安全A.11.1安全区域

      A.11.2 设备

      A.12 操作安全A.12.1 操作规程和职责

      A.12.2 恶意软件防护

      A.12.3 备份

      A.12.4 日志和监视

      A.12.5 运行软件控制

      A.12.6 技术脆弱性管理

      A.12.7 信息系统审计考虑

      A.13 通信安全A.13.1 网络安全管理

      A.13.2 信息交换

      A.14 系统获取、开发和维护A.14.1 信息系统的安全需求

      A.14.2 开发和支持过程中的安全

      A.14.3 测试数据

      A.15 供应商关系A.15.1 供应商关系的信息安全

      A.15.2 供应商服务交付管理

      A.16 信息安全事件管理A.16.1 信息安全事件和改进的管理

      A.17 业务连续性管理的信息安全方面A.17.1 信息安全连续性

      A.17.2 冗余

      A.18 符合性A.18.1 符合法律和合同要求

      A.18.2 信息安全评审

      4、标准特点

      ISO27001:2013版新标准特点:

         1)采用新结构, 在ISO27001:2013新版当中采用ISO导则83做结构性要求,这个结构未来在ISO其他标准改版中会普遍采用,将未企业管理体系融合提供了统一的体系架构,管理体系融合将更加便捷。新结构保持与PDCA方法的对应关系。

      2)控制更精简

          ISO27001:2013附录A中将旧版133个控制项缩减到113个,合并了类型的控制措施(如变更管理),新增的控制项目比如对智能型装置的管理、强化ICT供应链的委外管理、以及系统开发项目管理的信息安全要求等,以反映目前信息安全的发展趋势。

          ISO27001:2013将通信与操作管理领域拆分为通信安全与操作安全两个领域,比旧版标准更清晰的反应了实际的需求,与企业的信息系统的管理实践结合更紧密。ISO27001:2013将旧版业务连续性管理更新为信息安全方面的业务连续性管理,表述更准确。

         3)提供更多参考

      此次ISO也新增许多指引供企业参考,组织可以通过不同的方面以及风险进行深度的强化,通过ISO 27001认证只是基本要求。目前ISO 27000系列指引编号已超过44号(001-044),例如金融服务、数字鉴识、供应链管理、软件开发测试等,企业组织可参考这些指引做升级的要求。

      二、认证的价值和适用范围

      ISMS认证的价值有以下几点:

      1)符合法律法规要求:

         证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识 产权、商业秘密等。

      2)维护企业的声誉、品牌和客户信任:

         证书的获得,可以向合作伙伴、股东和客户表明组织为保护信息而付出的努力,令其对组织的信心将得到加强。同样的,证书的获得,有助于确定组织在同行业内的竞争优势,提升其市场地位。事实上,现在很多国际或国内的投标项目已经开始要求ISO27001的符合性了。

      3)履行信息安全管理责任:

         证书的获得,本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。

      4)增强员工的意识、责任感和相关技能:

         证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。

      5)保持业务持续发展和竞争优势:

         全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。

      6)实现风险管理:

         有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。

      7)减少损失,降低成本:

         ISMS的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到最低程度

      ISMS认证的适用范围

         信息安全管理标准正式发布后得到了很多国家的认可,是国际上具有代表性的信息安全管理体系标准。

         信息安全管理对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。

      三、必备条件

      1、适用于各种性质、各种规模的组织,如政府、银行、电讯、研究机构、外包服务企业、软件服务企业、印刷等;

      2、体系运行不少于3个月;

      3、要求获得ISO27001认证注册的公司,必须具备有至少连续3个月的管理体系记录,包括内部评审和管理评审的完整记录。

      四、资料清单

      1、合同

      2、申请书

      3、调查问卷

      4、法律地位证明文件(如企业法人营业执照、事业单位法人代码证书、社团法人登记证等),组织机构代码证。

      5、有效的资质证明等(适用时)等涉及法律法规规定的行政许可的须提交相应的行政许可证件复印件(需要时);

      6、组织简介(含组织结构图)

      7、适用性声明;

      8、适用的法律法规的标准的清单;

      五、服务流程


      版权所有 Copyright(C)2009-2017 意大利质量认证中心(香港)有限公司
      协办单位:英国皇家认可委员会
      邮箱:chinaqcc010@163.com
      必赢娱乐 靖州 华池县 蓝山县