ISO27001 信息安全管理体系认证

2017-9-18 16:09| 发布者: admin| 查看: 288| 评论: 0

摘要: 信息安全管理体系适用于所有类型的组织(例如:商业企业、政府机构、非盈利组织),包括但不限于,银行、证券、保险等金融机构;交通、能源等大型国有企业;互联网数据中心(IDC)服务提供商;软件和信息技术服务企业 ...

      信息安全管理体系(InformationSecurityManagementSystems,ISMS)是组织整体管理体系的一个部分,是基于风险评估建立、实施、运行、监视、评审、保持和持续改进信息安全等一系列的管理活动,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用的方法的体系。

  GB/T22080/ISO/IEC27001是建立和维护信息安全管理体系的标准,它要求组织通过一系列的过程,如确定信息安全管理体系范围,制定信息安全方针和策略,明确管理职责,以风险评估为基础选择控制目标和控制措施等,是组织达到动态的、系统的、全员参与的、制度化的,以预防为主的信息安全管理方式。

       信息安全管理体系适用于所有类型的组织(例如:商业企业、政府机构、非盈利组织),包括但不限于,银行、证券、保险等金融机构;交通、能源等大型国有企业;互联网数据中心(IDC)服务提供商;软件和信息技术服务企业;公共管理、社会保障和社会组织等。

一、业务背景

随着信息化建设工作不断推进,计算机网络规模和应用范围逐步扩大,信息科技的作用已经从业务支持逐步走向与业务的融合。同时,信息化在给企事业单位带来发展和效益的同时,其所形成的风险与传统操作风险的内涵发生了根本性变化。许多信息安全的问题纷纷出现:商业秘密的泄露、客户资料的流失、系统瘫痪、黑客入侵、病毒感染、网络钓鱼、网页改写等。各行业重要信息安全事件也屡屡发生并呈快速上长趋势,特别是一些企业发生的严重信息安全事件,更是给事发企业造成了难以估量的经济或声誉损失,影响了企业业务的稳健运行。

二、业务介绍

1. 信息安全风险评估

信息安全风险评估是信息安全工程的重要组成部分,是建立信息安全管理体系的基础和前提。信息安全风险评估分析用户信息安全管理体系范围内业务信息系统IT资产的弱点、面临的威胁以及威胁利用弱点可能造成的影响,了解其风险现状;明确各类风险的特性与等级化处理机制,从而使用户能够选择合适的风险控制措施,更有效地管理信息安全风险。通过识别用户信息安全风险,并进行评估分析,使管理层充分了解信息安全风险现状,明确定义当前系统存在的风险,针对性的制定风险处置计划。同时,根据评估结果确定用户不同业务信息系统的保护等级及相应级别下的安全管理策略

2.信息安全渗透测试

渗透测试是经过客户授权的,采用可控制、非破坏性质的方法和手段发现目标服务器和网络设备中存在的弱点。渗透测试是能过模拟黑客的攻击方法来评估计算机网络系统安全的一种评估方法,是一种选择不影响业务系统正常运行的攻击方法进行的测试,是一个渐进的并且逐步深入的过程,包括对系统的任何弱点、技术缺陷或漏洞的主动分析。

3.ISO/IEC 27001认证

根据企业的申请,为企业提供ISO/IEC 27001符合性认证。满足现行标准要求的,为企业颁发相关证书。

4.业务持续性管理

面对可能导致业务中断的意外事件或重大灾难时,保持业务的持续运营是对任何组织的基本要求。业务持续性管理服务能帮助识别企业的业务运营能力面临的风险,制定涵盖各个关键业务领域的业务持续性计划,减轻灾难事件对企业造成的不利影响,保证企业日常业务运行的平稳有序。

5. 信息安全培训


三、实施该业务的价值

1.符合法律法规要求: 信息安全管理体系的实施,要求组织遵守所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识 产权、商业秘密等。 

2.维护企业的声誉、品牌和客户信任: 信息安全管理体系的实施向合作伙伴、股东和客户表明组织为保护信息而付出的努力,令其对组织的信心将得到加强。有助于确定组织在同行业内的竞争优势,提升其市场地位。

 3.履行信息安全管理责任: 信息安全管理体系的实施能证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。 

4.增强员工的意识、责任感和相关技能: 信息安全管理体系可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。 

5.保持业务持续发展和竞争优势: 信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。 

6.实现业务风险管理:信息安全管理体系的实施有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。 

7.减少损失,降低成本: 信息安全管理体系的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到最低程度

四、业务流程

申请认证的组织组织应建立符合ISO/IEC 27001:2013标准要求的文件化信息安全管理体系,在申请认证之前应完成内部审核和管理评审,并保证体系有效、充分运行三个月以上;      组织应向赛宝认证中心提供信息安全管理体系运行的充分信息,对于多现场应说明各现场的认证范围、地址及人员分布等情况,赛宝认证中心将以抽样的方式对多现场进行审核;

认证分两个阶段进行:第一阶段审核,主要进行文件审核并确认第二阶段审核准备的充分性;第二阶段审核,主要对体系的符合性和有效性进行评价,作出现场审核的推荐结论;

证书有效期3年,获得认证后每年进行一次监督;

当组织的信息安全管理体系出现变化,或出现影响信息安全管理体系符合性的重大变动时,应及时通知赛宝认证中心;赛宝认证中心将视情况进行监督审核、换证审核或复审以保持证书的有效性;

      申请的基本条件:

  1)中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。

  2)申请方的信息安全管理体系已按ISO/IEC27001:2005标准的要求建立,并实施运行3个月以上。

  3)至少完成一次内部审核,并进行了管理评审。

  4)信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。

  2.申请应提交的文件

  1)ISCCC信息安全管理体系认证申请书。

  2)ISCCC申请书要求提供的资料。

  3)申请方同意遵守认证要求,提供审核所需必要信息的规定或承诺。

  4)双方签订认证合同。

相关阅读

返回顶部