- GRS認(rèn)證
- ISO9001 質(zhì)量管理體系認(rèn)證
- ISO14001 環(huán)境管理體系認(rèn)證
- OHSA18001 職業(yè)健康與安全管理體系認(rèn)證
- IATF16949 汽車行業(yè)質(zhì)量管理體系認(rèn)證
- ISO13485 醫(yī)療器械質(zhì)量管理體系認(rèn)證
- GJB19001A 國軍標(biāo)質(zhì)量管理體系認(rèn)證
- AS9100 航空航天質(zhì)量管理體系認(rèn)證
- GB/T50430 建設(shè)施工行業(yè)質(zhì)量管理規(guī)范
- HSE 石油化工行業(yè)健康、安全與環(huán)境管理體系認(rèn)證
- ISO22000 食品安全管理體系認(rèn)證
- HACCP 危害分析與關(guān)鍵控制點(diǎn)認(rèn)證
- CCC 中國強(qiáng)制性產(chǎn)品認(rèn)證
- CE 認(rèn)證
- ISO27001 信息安全管理體系(ISMS)認(rèn)證
- ISO20000 信息技術(shù)服務(wù)管理體系(ITSMS)認(rèn)證
- 十環(huán)認(rèn)證(中國環(huán)境標(biāo)志產(chǎn)品認(rèn)證)
- CMMI 軟件成熟度資質(zhì)
- 系統(tǒng)集成資質(zhì)
- 高新技術(shù)企業(yè)認(rèn)定
- FSC 森林認(rèn)證
- 商品售后服務(wù)認(rèn)證
- AAA榮譽(yù)證書
- 有機(jī)產(chǎn)品認(rèn)證
- 證書展示
- 知識產(chǎn)權(quán)貫標(biāo)認(rèn)證
ISO27001 信息安全管理體系(ISMS)認(rèn)證
例如,新版本包括關(guān)于電子商務(wù),移動計(jì)算機(jī),遠(yuǎn)程工作和外部采辦等領(lǐng)域的控制。
ISO27001信息安全管理體系
一、什么是信息安全
信息象其他重要的商務(wù)資產(chǎn)一樣,也是一種資產(chǎn),對一個(gè)組織而言具有價(jià)值,因而需要妥善保護(hù)。信息安全使信息避免一系列威脅,保障商務(wù)的連續(xù)性,大限度地減少商務(wù)的損失,大限度地獲取投資和商務(wù)的回報(bào)。
信息是所有組織的血肉。它可以以多種形式存在,可以是打印出來的或?qū)懗鰜淼恼撐?,電子存儲信件,通過郵件或使用其他電子手段傳遞,顯示在膠片上或表達(dá)在會話中。事實(shí)上,所有的組織都有他們各自處理信息的形式。銀行、保險(xiǎn)和信用卡公司都處理消費(fèi)者信息,保健提供者需要管理其病人的信息,政府部門存儲機(jī)密的和分類信息。不僅是市場,所有組織需要安全性管理,存儲和保護(hù)公司以及客戶信息。不論信息采用什么方式或采取什么手段共享和存儲,它應(yīng)該總是得到妥善保護(hù)。
信息安全的維持可表現(xiàn)為:
A安全性:確保信息僅可讓授權(quán)獲取的人士訪問;
B完整性:保護(hù)信息和處理方法的準(zhǔn)確和完善;
C可用性:確保授權(quán)人需要時(shí)可以獲取信息和相應(yīng)的資產(chǎn)。
信息安全通過執(zhí)行一套適當(dāng)?shù)目刂苼磉_(dá)到。它可以是方針、慣例、程序、組織結(jié)構(gòu)和軟件功能來實(shí)現(xiàn),這些控制方式需要確定,以保障組織特定安全目標(biāo)的實(shí)現(xiàn)。
二、為什么需要信息安全
信息的支持過程,系統(tǒng)和網(wǎng)絡(luò)都是重要的商務(wù)資產(chǎn)。信息的保密性、完整性和可用性對保持競爭優(yōu)勢、資金流動、效益、法律符合性和商務(wù)形象都是至關(guān)重要的。
而如今的組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨著包括計(jì)算機(jī)輔助欺詐、刺探、陰謀破壞行為、火災(zāi)、水災(zāi)等大范圍的安全威脅,而其他類似計(jì)算機(jī)病毒、服務(wù)器非法入侵破壞等已變得更加普遍,更加錯(cuò)綜復(fù)雜。據(jù)統(tǒng)計(jì)表明80-90%公司的計(jì)算機(jī)犯罪是內(nèi)部人干的,在金融系統(tǒng)中,自1992年英國商業(yè)因信息安全的損失估計(jì)達(dá)到1.2萬億英鎊(參考信息安全技術(shù)報(bào)告,Vol.3,No.4)。組織依靠信息系統(tǒng)和服務(wù)意味著更易受到安全威脅的破壞;公共和私人網(wǎng)絡(luò)的互連及信息資源的共享增大了控制訪問的難度;分布式計(jì)算機(jī)的趨勢減弱了專家控制的有效性……因此保護(hù)和防衛(wèi)信息是很必要的。而由于許多信息系統(tǒng)并非在設(shè)計(jì)時(shí)就考慮了安全,依靠技術(shù)手段實(shí)現(xiàn)安全很有限,則應(yīng)該由適當(dāng)?shù)墓芾砗统绦騺碇С帧?/span>
信息安全管理是通過保證維護(hù)信息的機(jī)密性,完整性和可用性來管理和保護(hù)機(jī)構(gòu)部門的所有的信息資產(chǎn)的一項(xiàng)體制。如果按要求的規(guī)范在設(shè)計(jì)階段實(shí)行信息安全管理,還會降低成本,提高效率。
三、信息安全標(biāo)準(zhǔn)建立的目的和適用范圍
BS 7799——信息安全標(biāo)準(zhǔn)是英國的工業(yè)、政府和商業(yè)共同需求而發(fā)展的一個(gè)標(biāo)準(zhǔn),它確保公司發(fā)展,實(shí)施和估量有效的安全管理時(shí)間并為公司貿(mào)易內(nèi)部提供信心。目前此標(biāo)準(zhǔn)是領(lǐng)導(dǎo)英國和國際商業(yè)好的信息安全慣例并受到國際一致好評。因?yàn)闃?biāo)準(zhǔn)適用于各種類型的組織,公共的或私人的部門和任何商業(yè)環(huán)境,它的一部分包含好的信息安全管理應(yīng)用并且是國際適用的。關(guān)于BS7799成為國際(ISO)標(biāo)準(zhǔn)的評審正在進(jìn)行。
BS7799的原始的版本是1995年出版:為了確保它的不過時(shí),所有的標(biāo)準(zhǔn)需要定期地評定。BS 7799:1999是1995版本的一個(gè)修訂版本和擴(kuò)展版本:它包含了所有的原始的控制和一套在原有的基礎(chǔ)上擴(kuò)展的新的控制。例如,新版本包括關(guān)于電子商務(wù),移動計(jì)算機(jī),遠(yuǎn)程工作和外部采辦等領(lǐng)域的控制。
四、信息安全標(biāo)準(zhǔn)的主要要求
BS 7799分兩部分出版:1、BS 7799-1:1999信息安全管理應(yīng)用程序和2、BS 7799-2:1999信息安全管理系統(tǒng)的規(guī)范。它是用于組織實(shí)施信息安全管理的一項(xiàng)體制。有10個(gè)以文獻(xiàn)形式體現(xiàn)各種控制主題,其范圍從來自第三方合同的風(fēng)險(xiǎn)識別,報(bào)告各種可能的安全事故到密碼管理系統(tǒng)和用戶培訓(xùn)。這十個(gè)章節(jié)和它們的客觀目標(biāo)在BS 7799中第二部分中有詳細(xì)描述,大致可總結(jié)為:
信息安全方針——為信息安全提供管理方向和保障;
組織安全——建立組織內(nèi)的管理體系以便安全管理;
資產(chǎn)歸類和控制——維護(hù)組織資產(chǎn)的適當(dāng)保護(hù)系統(tǒng);
人員安全——減少人為造成的風(fēng)險(xiǎn);
實(shí)物和環(huán)境安全——防止對關(guān)于IT服務(wù)的未經(jīng)許可的介入,損傷和干擾服務(wù);
通訊和操作管理——保證通訊和操作設(shè)備的正確和安全維護(hù);
訪問控制——控制對商業(yè)信息的訪問;
系統(tǒng)開發(fā)和維護(hù)——保證安全建造進(jìn)入安全系統(tǒng);
商業(yè)連續(xù)性管理——防止商業(yè)活動中斷及保護(hù)關(guān)鍵商業(yè)過程不受重大失誤或?yàn)?zāi)難事故的影響;
遵守——避免任何違反法令、法規(guī)、合同約定及其他安全要求的行為。
總之,隨著組織間的電子網(wǎng)絡(luò)的增加,通過信息安全管理的參考文獻(xiàn)記載可以看到信息安全管理明顯的利益。它能夠建立起網(wǎng)站和貿(mào)易伙伴之間的互相信任并為IT用戶和服務(wù)提供商之間提供一個(gè)基礎(chǔ)的設(shè)備管理。再加上信息安全威脅隨信息爆炸時(shí)代逐漸升級,越來越多的組織已經(jīng)意識到執(zhí)行信息安全標(biāo)準(zhǔn)的益處。
實(shí)施ISO27001認(rèn)證需準(zhǔn)備的材料:
1)公司資質(zhì)
2)組織簡介
3)申請認(rèn)證產(chǎn)品的生產(chǎn)、加工或服務(wù)工藝流程圖
4)臨時(shí)場所、多場所需提供清單
5)管理手冊、程序文件及組織機(jī)構(gòu)圖
6)服務(wù)器數(shù)量以及終端數(shù)量
7)服務(wù)器數(shù)量以及終端數(shù)量
8)適用性聲明、資產(chǎn)列表
9)保密協(xié)議、信息安全敏感區(qū)域的聲明
10)支持ISO27000信息安全管理體系的規(guī)程和控制措施、風(fēng)險(xiǎn)評估方法的描述、風(fēng)險(xiǎn)處置計(jì)劃、組織為確保其信息安全過程的有效規(guī)范/運(yùn)行和控制以及描述如何測量控制措施的有效性所需的形成文件的規(guī)程
襄陽聯(lián)豐坤達(dá)企業(yè)管理咨詢有限公司專業(yè)從事各類ISO管理體系認(rèn)證咨詢,可提供襄陽iso27001辦理,襄陽iso27001體系咨詢,襄陽iso27001如何辦理等管理體系咨詢服務(wù)。
相關(guān)產(chǎn)品
相關(guān)文章
- 國軍標(biāo)認(rèn)證公司講訴國標(biāo)認(rèn)證有哪些2017年12月26日
- 襄陽iso20000認(rèn)證講訴信息技術(shù)服務(wù)管理體系2017年12月26日
- 襄陽環(huán)境管理認(rèn)證分享鼓勵(lì)環(huán)境管理認(rèn)證增強(qiáng)企業(yè)環(huán)境意識2017年12月26日
- 遵守襄陽ISO9001標(biāo)準(zhǔn)并以顧客體驗(yàn)為原則2017年12月26日
- 市公路通過襄陽ISO9001認(rèn)證2017年12月26日