翰纬ISO27001认证实施介绍
- 格式:ppt
- 大小:445.00 KB
- 文档页数:13


iso27001信息安全管理体系认证的要求ISO 27001信息安全管理体系认证的要求ISO 27001是国际标准化组织(ISO)发布的信息安全管理体系标准,它为组织制定和实施信息安全管理体系提供了指导。
通过ISO 27001认证,组织可以证明其信息安全管理体系符合国际最佳实践,能够保护信息资产的机密性、完整性和可用性。
ISO 27001的认证要求包括以下几个方面:1. 制定信息安全政策:组织应制定一份明确的信息安全政策,描述其对信息安全的承诺和目标。
这份政策应得到高层管理人员的支持,广泛传达给全体员工。
2. 进行风险评估和管理:组织需要进行全面的风险评估,识别并分析可能对信息资产造成威胁的风险。
基于风险评估结果,组织需要制定相应的风险管理计划,采取适当的控制措施来降低风险。
3. 确定信息安全目标和控制措施:基于风险评估和管理结果,组织需要确定信息安全目标,并制定相应的信息安全控制措施。
这些措施包括技术、操作和管理层面上的安全控制,旨在保护信息资产免受威胁和攻击。
4. 实施和操作信息安全管理体系:组织需要制定详细的操作程序和控制措施,以确保信息安全管理体系的有效运行。
这包括培训员工、监督和审查安全措施的执行情况,并建立持续改进的机制。
5. 进行内部审核和管理审查:组织应定期进行内部审核,以评估信息安全管理体系的有效性和符合性。
此外,组织需要定期进行管理审查,以确保信息安全目标的实现,并根据需要进行调整和改进。
6. 与外部实体进行合作和合规:组织需要与外部实体,如供应商、合作伙伴和监管机构进行合作,确保其在信息安全管理方面遵守相关法律法规和合同要求。
ISO 27001认证是一个全面的过程,需要组织全力配合和积极落实相关要求。
通过认证,组织可以提高信息安全管理的水平,增强对信息资产的保护,树立公信力,获得市场竞争优势。
ISO27001认证业务常见问题Q:ISO27001认证是什么?A:ISO27001是国际标准,全名是IEC/ISO27001信息安全管理体系规范,他是整个ISO27000标准系列当中的一个标准,该系列标准中包含很多其他标准;另外一个大家常说的标准ISO1779:2005-信息安全实施细则也是与信息安全管理相关的,这个标准当前已经改名为ISO27002:2008了。
无论是ISO27001还是ISO27002,都是ISMS标准系列(ISMS Family of Standards)之一,ISMS标准系列如下图所示:大家常说的ISO27001认证,就是企业宣称的认证范围内符合ISO27001标准正文里的所有要求,并且有选择的满足ISO27001标准附录A中的内容。
附录A中的内容对应标准ISO27002:2008第5章到第15章,企业是可以根据自身的实际情况来选择适用的控制措施,也就是说该标准里的133个控制项不是强制要求通过认证的用户都必须满足的,通常是通过《适用性声明SOA》文件来表达这种适用,因此,通常在通过ISO27001证书里会包含所选《适用性声明SOA》文件的。
Q:与BS7799认证有和区别?A:ISO27001认证和BS7799认证的区别得从ISO27001标准发展的历史谈起,ISO27001的发展过程如下图所示:BS7799认证是指企业信息安全管理体系符合英国国家标准BS7799-2,由于BS7799具有广泛的国际认可度,在BS7799-2成为国际标准ISO27001之前,全球企业在选择信息信息安全管理体系认证时,会选择BS7799。
Q:到目前为止,国内ISO27001认证情况发展如何?A:目前在国内通过ISO27001认证的企业数已经达到了199家(截至200906),尽管绝对数还不大,但是增长特别快,从下图能观其大概:在这颁发的199张证书里,其中数DNV和BSI颁发占绝大多数,下图是各认证公司颁发证书的统计表(截止到2009年6月):目前国内认证公司有中国信息安全认证中心(简写为ISCCC ,09年5月份CNAS 认可),华夏认证中心有限公司(UKAS 认可,国内试点证书),广州赛宝认证中心服务有限公司(国内试点证书),中国电子技术标准化研究所(国内试点证书)四家,从公开渠道能够查询到的信息来看,截止到2009年7月20日,只有中国信息安全认证中心对外颁发了19张证书,而其他国内认证机构还没有颁出证书。
ISO27001标准内容概述ISO27001是一个信息安全管理的国际标准,它主要包括以下方面的内容:1. 信息安全管理体系要求ISO27001要求组织建立并维护一个信息安全管理体系(ISMS),以确保组织的信息资产得到适当的保护。
这个体系包括信息安全策略、目标、风险管理、控制措施以及信息安全文化等方面的内容。
2. 信息安全控制措施ISO27001规定了组织需要实施的一系列信息安全控制措施,包括但不限于:访问控制、数据加密、备份与恢复、安全审计、物理安全、网络安全等。
这些控制措施旨在确保组织的信息资产在存储、传输和处理过程中得到适当的保护。
3. 信息安全风险管理ISO27001要求组织进行信息安全风险管理,识别和评估潜在的安全风险,并采取适当的措施来降低或消除这些风险。
这包括风险评估、风险处理、风险监控和风险报告等方面的内容。
4. 信息安全事件处理ISO27001规定了组织在发生信息安全事件时的处理流程,包括事件的报告、响应、调查和恢复等方面的内容。
此外,还要求组织建立和维护一个安全事件数据库,以便对事件进行分析和总结。
5. 信息安全审计与监管ISO27001要求组织进行定期的信息安全审计,以确保组织的信息安全管理体系的有效性和合规性。
此外,还要求组织进行内部和外部的监管和检查,以便及时发现和纠正任何潜在的安全问题。
6. 信息安全培训与意识教育ISO27001要求组织对员工进行定期的信息安全培训和意识教育,以提高员工对信息安全的重视程度,增强员工的安全意识和技能。
7. 信息安全政策与规划ISO27001要求组织制定并维护一份信息安全政策和规划,以确保组织的信息安全管理体系得到长期的保障。
这个政策和规划应该包括信息安全的目标、策略、计划和预算等方面的内容。
8. 信息安全法规与合规性ISO27001要求组织遵守相关的信息安全法规和标准,以确保组织的信息安全管理体系得到合规性的保障。
此外,还要求组织了解并遵守相关的法律和法规,如隐私保护、数据保护和网络安全等方面的内容。