深圳ISO27000認證標準的資料
日期:2019-02-28 人氣:256 分享:http://hf828885.com/a_388.html
內容摘要:深圳ISO27000認證標準的資料ISO27000信息安全管理體系的建構方法一、要不斷完善ISMS信息安全管理框架體系,一定要按照適當的程序進(jìn)行相應的管理,不能忽略任何一個(gè)環(huán)節。二、要對ISMS信息安 ...
深圳ISO27000認證標準的資料
ISO27000信息安全管理體系的建構方法一、要不斷完善ISMS信息安全管理框架體系,一定要按照適當的程序進(jìn)行相應的管理,不能忽略任何一個(gè)環(huán)節。二、要對ISMS信息安全管理框架中的內容進(jìn)行有效分析,將每一具體環(huán)節都落到實(shí)處。ISMS信息安全管理體系的落實(shí)效果必然會(huì )受到各種因素的影響,要綜合全面地進(jìn)行考慮。三、要建立和完善ISMS信息安全管理的相關(guān)文檔。四、要做好信息安全事件的及時(shí)記錄,并將信息進(jìn)行有效地回饋,便于建立有效的信息安全應對機制。
獲得ISO/IEC27001證書(shū),可以為企業(yè)帶來(lái)哪些收益呢?l證明組織可以獨立保證內部控制,同時(shí)符合公司治理和業(yè)務(wù)連續性要求;l充分證明組織遵守適用的法律法規;l通過(guò)符合合同要求,并向客戶(hù)證明它們的信息安全是組織的頭等大事,從而帶來(lái)競爭優(yōu)勢;l充分證明組織的風(fēng)險已得到正確的識別、評估和管理,同時(shí)使信息安全流程、程序和文檔得到正式化l證明組織的高級管理層在信息維護方面所作的承諾;l定期評估過(guò)程有助于組織持續監控績(jì)效與改進(jìn)。注:如果組織僅聲明遵守ISO/IEC27001或者業(yè)務(wù)規范標準ISO/IEC27002中的建議,將無(wú)法實(shí)現上述認證收益。
ISMS認證的適用范圍:ISO/IEC27001標準適用于所有類(lèi)型的組織(例如,商業(yè)企業(yè)、政府機構、非贏(yíng)利組織)。ISO/IEC27001從組織的整體業(yè)務(wù)風(fēng)險的角度,為建立、實(shí)施、運行、監視、評審、保持和改進(jìn)文件化的ISMS規定了要求。它規定了為適應不同組織或其部門(mén)的需要而定制的安全控制措施的實(shí)施要求。任何組織,不論其規模大小,所屬行業(yè)或地理位置如何,均可采納ISO/IEC27001標準。該標準尤其適合對信息安全有較高要求的行業(yè),例如金融、健康、公共事業(yè)及IT行業(yè)。ISO/IEC27001對于代表他方管理信息的組織(例如IT外包公司)也十分有效:它可用于使發(fā)包方有足夠的信息確信其信息得到接包方的有效保護。
ISMS認證是什么?1995年,英國標準協(xié)會(huì )(BSI)發(fā)布BS7799標準,即ISMS(信息安全管理體系),旨在規范、引導信息安全管理體系的發(fā)展過(guò)程和實(shí)施情況。BS7799標準被外界認為是一個(gè)不偏向任何技術(shù)、任何企業(yè)和產(chǎn)品供應商的價(jià)值中立的管理體系。只要實(shí)施得當,BS7799標準將幫助企業(yè)檢查并確認其信息安全管理手段和實(shí)施方案的有效性。所謂認證,即由可以充分信任的第三方認證機構依據特定的審核準則,按照規定的程序和方法對受審核方實(shí)施審核,以證實(shí)某一經(jīng)鑒定的產(chǎn)品或服務(wù)符合特定標準或規范性文件的活動(dòng)。針對ISO/IEC27001的受認可的認證,是對組織的ISMS符合ISO/IEC27001要求的一種認證。這是一種通過(guò)權威的第三方審核之后提供的保證:受認證的組織實(shí)施了ISMS,并且符合ISO/IEC27001標準的要求。通過(guò)認證的組織,將會(huì )被注冊登記。
ISO27001信息安全管理體系風(fēng)險評估的主要工作任務(wù)及內容(活動(dòng))1)問(wèn)卷調查對ISMS范圍內的相關(guān)人員進(jìn)行問(wèn)卷調查,了解組織人員的安全管理意識、組織面臨的主要威脅情況以及發(fā)生的主要安全事件。2)現場(chǎng)訪(fǎng)談面對面訪(fǎng)談信息系統架構、部署以及安全弱點(diǎn)、管理及技術(shù)措施等。3)手工檢測人工檢查或測試系統的安全管理落實(shí)情況。4)安全掃描使用自動(dòng)化工具進(jìn)行網(wǎng)絡(luò )、操作系統、數據庫或應用系統掃描。5)滲透測試對網(wǎng)絡(luò )、操作系統、數據庫或應用系統實(shí)施滲透測試,可選。6)綜合分析對問(wèn)卷調查、現場(chǎng)訪(fǎng)談、手工檢測、安全掃描收集的信息進(jìn)行綜合分析。7)撰寫(xiě)報告撰寫(xiě)差距分析報告和現狀報告。
關(guān)鍵詞:深圳ISO27000認證資料,深圳ISO27000標準資料