最近中文字幕视频大全高清_黑人巨大人精品欧美三区_日本乱人伦电影大全_国产欧美日韩高清91专区_色视频在线观看免费播放_亚洲自拍无码一区_附近24小时随叫随到_日韩 中文字幕 第三页视频_少妇无码一晚三次_亚洲中文在线字幕

企業(yè)為什么要做ISO27001認(rèn)證

時(shí)間:2018-10-31 16:01:52來源:智天下顧問

一 企業(yè)為什么要做ISO27001認(rèn)證
二、        為什么需要信息安全?
在人類邁入信息息時(shí)代的今天,組織在分享著現(xiàn)代科技帶來便利的同時(shí),也面臨著信息安全的威脅。如何既能享用現(xiàn)代信息系統(tǒng)的快捷方便,又能充分防范信息的損壞和泄露,已成為當(dāng)前企業(yè)迫切需要解決的問題。專家研究表明,信息安全在于保證信息的保密性、完整性、可用性三種屬性不被破壞。信息安全可使信息避免一系列威脅,保障業(yè)務(wù)的連續(xù)性,最大限度地減少業(yè)務(wù)的損失,獲取相關(guān)方的信任,以最大限度地獲得投資和業(yè)務(wù)的回報(bào)。
“七分管理,三分技術(shù)”的信息安全原則表明,解決信息安全問題不應(yīng)僅從技術(shù)方著手,同時(shí)更應(yīng)加強(qiáng)信息安全的管理工作,通過建立正規(guī)的信息安全管理體系以達(dá)到系統(tǒng)、全面地解決信息安全問題。ISO/IEC 27001標(biāo)準(zhǔn)目前是國(guó)際上公認(rèn)的實(shí)現(xiàn)信息安全管理的最佳標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)強(qiáng)調(diào)以風(fēng)險(xiǎn)管理為基礎(chǔ)的、全面的安全管理,目前該方法在世界范圍內(nèi)得到了廣泛的認(rèn)可。
三、        ISO27001:2005主要內(nèi)容
ISO 27001:2005是建立信息安全管理體系(ISMS)的一套需求規(guī)范(Information Security. Security techniques. Information security management systems. Requirements),其中詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的要求,指出實(shí)施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn),當(dāng)然,如果要得到最終的認(rèn)證(對(duì)依據(jù)ISO 27001:2005建立的ISMS進(jìn)行認(rèn)證),還有一系列相應(yīng)的注冊(cè)認(rèn)證過程。作為一套管理標(biāo)準(zhǔn),ISO 27001:2005指導(dǎo)相關(guān)人員怎樣去應(yīng)用ISO27002:2005,其最終目的,還在于建立適合組織需要的信息安全管理體系(ISMS)。
下表以標(biāo)準(zhǔn)原文目錄格式,列舉說明了ISO 27001:2005的主要內(nèi)容。
一級(jí)目錄
二級(jí)目錄
內(nèi)容簡(jiǎn)介
前言
發(fā)布者,目的,內(nèi)容概要,其他說明。
0. 簡(jiǎn)介
0.1 概要
本標(biāo)準(zhǔn)對(duì)組織的價(jià)值所在。
0.2 過程方法
對(duì)過程方法進(jìn)行解釋,引入PDCA模型。
0.3 與其他管理體系的兼容
強(qiáng)調(diào)與ISO9001和ISO14001的一致性。
1. 范圍
1.1 概要
本標(biāo)準(zhǔn)規(guī)定了ISMS建設(shè)的要求及根據(jù)需要實(shí)施安全控制的要求。
1.2 應(yīng)用
本標(biāo)準(zhǔn)適用于所有的組織??刂七x擇與否應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估和適用法規(guī)需求。
2. 標(biāo)準(zhǔn)引用
引用ISO9001、ISO17799和ISO Guide 73:2002
3. 術(shù)語(yǔ)和定義
資產(chǎn),CIA,信息安全,信息安全事件,ISMS,風(fēng)險(xiǎn)評(píng)估與管理,SOA等。
4. 信息安全管理體系
4.1 一般要求
在組織全面的業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)環(huán)境中,應(yīng)該開發(fā)、實(shí)施、維護(hù)并持續(xù)改進(jìn)一個(gè)文檔化的ISMS。
4.2 建立并管理ISMS
4.2.1 建立ISMS(Plan)
? 定義ISMS的范圍
? 定義ISMS方針
? 定義系統(tǒng)的風(fēng)險(xiǎn)評(píng)估途徑
? 識(shí)別風(fēng)險(xiǎn)
? 評(píng)估風(fēng)險(xiǎn)
? 識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理措施
? 選擇用于風(fēng)險(xiǎn)處理的控制目標(biāo)和控制
? 準(zhǔn)備適用性聲明(SoA)
? 取得管理層對(duì)殘留風(fēng)險(xiǎn)的承認(rèn),并授權(quán)實(shí)施和操作ISMS
4.2.2 實(shí)施和操作ISMS(Do)
? 制定風(fēng)險(xiǎn)處理計(jì)劃
? 實(shí)施風(fēng)險(xiǎn)處理計(jì)劃
? 實(shí)施所選的控制措施以滿足控制目標(biāo)
? 實(shí)施培訓(xùn)和意識(shí)程序
? 管理操作
? 管理資源(參見5.2)
? 實(shí)施能夠激發(fā)安全事件檢測(cè)和響應(yīng)的程序和控制
4.2.3 監(jiān)視和復(fù)查ISMS(Check)
? 執(zhí)行監(jiān)視程序和控制
? 對(duì)ISMS的效力進(jìn)行定期復(fù)審
? 復(fù)審殘留風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的水平
? 按照預(yù)定計(jì)劃進(jìn)行內(nèi)部ISMS審計(jì)
? 定期對(duì)ISMS進(jìn)行管理復(fù)審
? 記錄活動(dòng)和事件可能對(duì)ISMS的效力或執(zhí)行力度造成影響
4.2.4 維護(hù)并改進(jìn)ISMS(Act)
? 對(duì)ISMS實(shí)施可識(shí)別的改進(jìn)
? 采取恰當(dāng)?shù)募m正和預(yù)防措施
? 與所有利益伙伴溝通
? 確保改進(jìn)成果滿足其預(yù)期目標(biāo)
4.3 文件要求
4.3.1 概要-說明ISMS應(yīng)該包含的文件。
4.3.2 對(duì)文件的控制- ISMS所要求的文件應(yīng)該妥善保護(hù)和控制。
4.3.3 對(duì)記錄的控制-應(yīng)該建立并維護(hù)記錄。
5. 管理層責(zé)任
5.1 管理層責(zé)任
說明管理層在ISMS建設(shè)過程中應(yīng)該承擔(dān)的責(zé)任。
5.2 對(duì)資源的管理
5.2.1 資源提供-組織應(yīng)該確定并提供ISMS相關(guān)所有活動(dòng)必要的資源
5.2.2 培訓(xùn)、意識(shí)和能力-通過培訓(xùn),組織應(yīng)該確保所有在ISMS中承擔(dān)責(zé)任的人能夠勝任其職
6. ISMS內(nèi)部審計(jì)
組織應(yīng)該通過定期的內(nèi)部審計(jì)來確定ISMS的控制目標(biāo)、控制、過程和程序滿足相關(guān)要求。
7. ISMS管理評(píng)審
7.1 概要
管理層應(yīng)該對(duì)組織的ISMS定期進(jìn)行評(píng)審,確保其持續(xù)適宜、充分和有效。
7.2 評(píng)審輸入
評(píng)審時(shí)需要的輸入資料,包括內(nèi)審結(jié)果。
7.3 評(píng)審輸出
評(píng)審成果,應(yīng)該包含任何決策及相關(guān)行動(dòng)。
8. ISMS改進(jìn)
8.1 持續(xù)改進(jìn)
組織應(yīng)該借助信息安全策略、安全目標(biāo)、審計(jì)結(jié)果、受監(jiān)視的事件分析、糾正性和預(yù)防性措施、管理復(fù)審來持續(xù)改進(jìn)ISMS的效力。
8.2 糾正措施
組織應(yīng)該采取措施,消除并實(shí)施和操作ISMS相關(guān)的不一致因素,避免其再次出現(xiàn)。
8.3 預(yù)防措施
為了防止將來出現(xiàn)不一致,應(yīng)該確定防護(hù)措施。所采取的預(yù)防措施應(yīng)與潛在問題的影響相適宜。
附錄A
控制目標(biāo)和控制
A.5 安全策略
A.6 組織信息安全
A.7 資產(chǎn)管理
A.8 人力資源管理
A.9 物理和環(huán)境安全
以列表(表A.1)方式展示:A.5到A.15所列的控制目標(biāo)和控制,是直接從ISO/IEC 17799:2005正文5到15那里引用過來的。此處列舉的控制目標(biāo)和控制,應(yīng)該被4.2.1規(guī)定的ISMS過程所選擇。
A.10 通信和操作管理
A.11 訪問控制
A.12 信息系統(tǒng)獲取、開發(fā)和維護(hù)
A.13 信息安全事件管理
A.14 業(yè)務(wù)連續(xù)性管理

					                              
					
                                        
延伸閱讀

					

                                            
                                                                 
					
				
                                

                                    熱門標(biāo)簽:
                                    行業(yè)新聞				
			
			

                           
                            

					
培訓(xùn)課程

					
				
                            
			

		
	
?