分享到:

深圳市宏儒企业管理咨询有限公司苏州分公司中国最专业的ISO认证咨询公司,10资质备案,全国60个分支机构为您提供当地服务。

联系资料

深圳市宏儒企业管理咨询有限公司苏州分公司
所在地区:
江苏省 苏州市
公司主页:
暂无
电话号码:
0512*******
传真号码:
0512*******
联 系 人:
周小姐
移动电话:
1525*******
电子邮箱:
***396274@qq.com***

苏州高端咨询ISO27001全球信息安全管理标准介绍

发布于:2013年07月05日 来源:www.fuhai360.com
[摘要]苏州高端咨询ISO27001全球信息安全管理标准介绍ISO/IEC27001是信息安全管理实用规则,它的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的而ISO27001:2005作为信息安全管理体系的国际标准,为建立、实施、运行、监视、评审、保持和改进ISMS提供了一套详实可靠的规范体系。

苏州高端咨询ISO27001全球信息安全管理标准介绍  

     管理实用规则,它的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分: BS7799-1,信息安全管理实施规则 BS7799-2,信息安全管理体系规范。 第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。 
    随着信息技术的迅猛发展,信息安全已成为一个现代企业管理中不容忽视的问题,信息安全管理体系(ISMS)也广泛应用于各企事业中。
      而ISO27001:2005作为信息安全管理体系的国际标准,为建立、实施、运行、监视、评审、保持和改进ISMS提供了一套详实可靠的规范体系。
ISO27001以风险评估为基础,强调对法律法规的符合性,并采用了“规范(Plan)-实施(Do)-检查(Check)-处置(Act)”(PDCA)模型,该模型适用于所有的ISMS过程。并与其他管理标准有极强的兼容性。

             应用于ISMS过程的PDCA模型
Plan规划(建立ISMS):建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和程序,以提供与组织整体方针和目标相一致的结果。
Do实施(实施和运行ISMS):实施和运行ISMS方针、控制措施、过程和程序。
Check检查(监视和评审ISMS):对照ISMS方针、目标和实践经验,评估并在适当时,测量过程的执行情况,并将结果报告管理者以供评审。
Act处置(保持和改进ISMS):基于ISMS内部审核和管理评审的结果或者其他相关信息,采取纠正和预防措施,以持续改进ISMS。
ISO27001认证咨询
     在长期实践过程中,宏儒顾问总结创新了一套高效可行的ISMS项目实施的规范流程。
现状调研分析:本阶段主要是前期的准备和计划工作,包括明确评估目标,确定评估范围,组建评估管理和实施团队。通过对主要业务、组织结构、规章制度和信息系统等进行初步调研和沟通来确定评估项目的实施方案,并得到高层许可。
    项目准备:前期沟通交流,建立信息安全管理领导机构,组建信息安全推进团队,收集整理相关文件、资料。
    走访调查:访谈调查,核心与支持业务,业务对资源的需求,业务影响分析。确定信息安全管理体系范围、定义信息安全方针。
    前期培训:进行信息安全管理意识和信息安全基础知识的培训。
    现状分析:初步理解信息安全现状,分析与ISO27001标准要求的差距。
    明确职责:明确信息安全职责,并形成文件。
资产识别和风险评估:对组织信息资产进行资产价值、威胁因素、脆弱性分析,从而评估组织信息安全风险,选择适当的措施、方法实现管理风险的目的。 
    资产识别:识别组织的各种信息资产。 
    风险评估:重要资产、威胁、弱点、风险识别与评估。 
体系的规划和制定:通过对企业的风险评估,制定相应的信息安全整体规划,管理规划,技术规划等。并制定相应有效的安全控制措施。
    文件编写:确定信息安全管理体系总体方案,编写ISMS各级管理文件,并由管理层审核确定。
    发布实施:ISMS实施计划,体系文件发布,控制措施实施。 
    中期培训:全员文件学习落实,安全意识培训,ISMS实施推广培训,必要的考核。 
体系的实施:全面实施信息安全管理体系,落实实施信息安全管理技术计划,执行信息安全管理控制措施。测试体系的有效性和稳定性。 
    体系运行:按制定的安全管理计划运行体系。 
    后期培训:对企业内体系执行人员的专业培训。 
监督评审和循环改进:通过组织内部审核和管理评审,对组织整体信息安全管理水平进行综合评价,提出改进方案,制定整改计划,并在运行中进行不断的整改。 
    内部审核:建立内部审核机制,制定内部审核方案,纠正审核后发现的问题,跟踪改进措施的实施。
    管理评审:信息安全管理委员会组织ISMS整体评审,评估ISMS改进的机会和变更的需要,以及体系的运行情况。 
    循环改进:根据内部审核和管理评审中发现的问题,不断改进体系,以达到预期的要求。 
审核认证阶段:在体系建立并平稳运行一段时间以后,可提出申请认证。
    认证准备:准备送审资料,落实部署审核事项。
    协助认证:内审小组陪同协助,应对审核问题。
信息安全风险评估是信息安全管理的基础和关键环节。通过开展信息安全风险评估,对网络与信息系统的资产价值、潜在的安全威胁、薄弱环节、防护措施等进行分析,可以做到心中有数,可以发现信息系统中存在的主要安全问题,并找到解决这些问题的方法,有针对性地进行管理。
    
    评估准备阶段:本阶段主要是前期的准备和计划工作,包括明确评估目标,确定评估范围,组建评估管理与实施团队,对主要业务、组织结构、规章制度和信息系统等进行初步调研,沟通和确定风险分析方法,协商并确定评估项目的实施方案,并得到被评估单位的高层许可。尽管评估准备阶段的工作比较琐碎,但准备阶段中充分、细致的沟通和合理、精确的计划,是保证评估工作得以顺利实施的关键。
    要素识别阶段:在准备阶段完成之后,将依靠已经建立起来的评估管理和实施团队,遵照准备阶段中确定的实施方案进行评估。首先要进行的就是识别信息安全风险的构成要素——资产、威胁和脆弱性,以及识别和验证已有安全控制措施的有效性——为下一阶段的风险分析收集必要的基础数据。本阶段除了要进行有关要素的识别活动以外,还需要进行要素的分类、赋值以及要素间的关联等活动,这由所选用的具体评估方法而定。
    风险分析阶段:经过识别阶段之后,已经得到影响被评估信息系统信息安全风险的基本数据,包括资产、威胁、脆弱性和安全控制措施等。接下来需要根据被评估单位的实际情况制定出一套合理、清晰的影响及可能性等级判据;然后根据这些判据,对主要威胁场景进行分析,描述和评价个主要威胁场景的潜在影响及其发生的可能性,从而确定信息安全风险。经过与被评估单位的沟通与协商,风险分析团队应以被评估单位所能接受的形式,提交《风险分析报告》和《风险控制建议》。
    汇报验收阶段:本阶段主要是按照评估方案所确定的汇报和验收流程,完成最后评估项目的总结和验收工作。

温馨提示: 上述内容只是宏儒顾问独特见解的一部分内容,苏州宏儒咨询提倡企业需要有系统的管理