信息安全管理體系(InformationSecurityManagementSystems,ISMS)是組織整體管理系統(tǒng)的一部分。它是基于風(fēng)險(xiǎn)評(píng)估的一系列管理活動(dòng)���,如信息安全的建立�����、實(shí)施、運(yùn)行、監(jiān)控����、審查����、維護(hù)和持續(xù)改進(jìn)���。它是一個(gè)組織在整體或特定范圍內(nèi)建立信息安全政策和目標(biāo)的系統(tǒng)�,以及實(shí)現(xiàn)這些目標(biāo)所采用的方法。
GB/T22080/ISO/IEC27001是建立和維護(hù)信息安全管理體系的標(biāo)準(zhǔn)。它要求組織采取確定信息安全管理體系范圍、制定信息安全政策和策略、明確管理職責(zé)����、基于風(fēng)險(xiǎn)評(píng)估選擇控制目標(biāo)和措施等一系列流程����。它是一種動(dòng)態(tài)的�、系統(tǒng)的���、系統(tǒng)的����、預(yù)防性的組織信息安全管理方法。
近年來企業(yè)高層對內(nèi)部治理需求越來越實(shí)際而具體��。隨著信息技術(shù)普遍滲透到企業(yè)組織中的各個(gè)方面����,企業(yè)越來越依賴IT系統(tǒng)來處理和儲(chǔ)存各種信息,以保證業(yè)務(wù)正常運(yùn)營����。業(yè)內(nèi)人士對ISO27001認(rèn)證趨之若鶩����,這其中有兩個(gè)關(guān)鍵性的驅(qū)動(dòng)因素:一是日益嚴(yán)峻的信息安全威脅����,二是不斷增長的信息保護(hù)相關(guān)法規(guī)的需求。
本質(zhì)上說����,信息安全威脅是全球化的����。一般來說,它將毫無差別地輻射到每一個(gè)擁有����、使用電子信息的機(jī)構(gòu)和個(gè)人���。這種威脅在因特網(wǎng)的環(huán)境中自動(dòng)生成并釋放。更嚴(yán)重的問題是�,其他各種形式的危險(xiǎn)也在整日威脅數(shù)據(jù)安全��,包括從外部攻擊行為到內(nèi)部破壞、偷盜等一系列危險(xiǎn)�����。
過去的十年內(nèi)�����,圍繞信息和數(shù)據(jù)安全問題建立起來的法律法規(guī)體系從無到有���、不斷壯大�����,其中包括專門針對個(gè)人數(shù)據(jù)保護(hù)問題的,也有針對企業(yè)財(cái)政���、運(yùn)營和風(fēng)險(xiǎn)管理體系建立的法規(guī)保障問題的。一套正式規(guī)范的信息安全管理體系應(yīng)當(dāng)可以提供最佳實(shí)踐部署指導(dǎo)���。目前,建立這樣的管理體系逐漸成為諸多合規(guī)項(xiàng)目的必要條件����,與此同時(shí)��,針對該管理體系的認(rèn)證逐漸成為各種組織(包括政府部門)的熱門需求,這份認(rèn)證可以為他們帶來重要的潛在商業(yè)合同��。
ISO27001是信息安全管理體系��,這是關(guān)于信息風(fēng)險(xiǎn)管理有關(guān)的活動(dòng)�。信息安全管理體系是一個(gè)總體的管理框架����,通過該框架企業(yè)可以識(shí)別��,分析和解決其信息風(fēng)險(xiǎn)��。信息安全管理體系與安全威脅,漏洞和業(yè)務(wù)影響的變化保持同步-這是動(dòng)態(tài)領(lǐng)域中的重要方面,也是靈活的風(fēng)險(xiǎn)驅(qū)動(dòng)方法的主要優(yōu)勢���,更多關(guān)于ISO27001認(rèn)證的意義請點(diǎn)此處。
該標(biāo)準(zhǔn)涵蓋了所有類型的組織,各種規(guī)模以及所有行業(yè)或市場�。顯然�,ISO27001信息安全管理體系可以被各行各業(yè)廣泛的應(yīng)用�。
在當(dāng)今社會(huì)中信息化技術(shù)日益發(fā)展,水平不斷上升,信息安全不斷成為人們關(guān)注的焦點(diǎn)ISO27001信息安全管理體系提供了一套綜合的、由信息安全最佳慣例組成的實(shí)施規(guī)則�,其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準(zhǔn)����,并且適用于大����、中、小組織。
企業(yè)申請ISO27000認(rèn)證的流程大致如下
1企業(yè)自身建立ISO27001信息安全管理體系��。
2認(rèn)證機(jī)構(gòu)評(píng)估費(fèi)用和正式審核時(shí)間����。
3向認(rèn)證機(jī)構(gòu)遞交正式申請
4(可選項(xiàng))認(rèn)證機(jī)構(gòu)將進(jìn)行預(yù)審,在正式審核前排除一些重大的確失,同時(shí)讓客戶熟悉審核的方法危險(xiǎn)評(píng)估,審查方針�����,范圍和采用的程序��。檢查體系中遺漏和繁瑣需要修改的地方��。
5(可選項(xiàng))認(rèn)證機(jī)構(gòu)將進(jìn)行預(yù)審����,在正式審核前排除一些重大的確失����,同時(shí)讓客戶熟悉審核的方法危險(xiǎn)評(píng)估�,審查方針,范圍和采用的程序。檢查體系中遺漏和繁瑣需要修改的地方����。
6認(rèn)證機(jī)構(gòu)將進(jìn)行第二階段審核��,主要進(jìn)行實(shí)施審核,查看程序規(guī)定的執(zhí)行情況。認(rèn)證機(jī)構(gòu)通常將現(xiàn)場審核并給出建議��。
7如果能順利完成審核����,在確定清楚認(rèn)證范圍后,發(fā)放信息安全體系證書。在滿足持續(xù)審核情況下���,三年有效。
注意事項(xiàng)
先從自咨詢ISO27001信息安全管理體系開始,然后運(yùn)行ISO27001信息安全管理體系�����,應(yīng)有針對性地宣貫信息安全管理體系文件��。體系文件的培訓(xùn)工作是體系運(yùn)行的首要任務(wù)����,培訓(xùn)工作的質(zhì)量直接影響體系運(yùn)行的結(jié)果�。組織應(yīng)根據(jù)培訓(xùn)工作計(jì)劃的安排并按照培訓(xùn)程序的要求對全體員工實(shí)施培訓(xùn)。通過培訓(xùn)使全體員工認(rèn)識(shí)到新建立或完善的信息安全管理體系是對過去信息安全管理體系的變革���,是為了向國際先進(jìn)的信息安全管理標(biāo)準(zhǔn)接軌,要適應(yīng)這種變革和新管理體系的運(yùn)行���,就必須認(rèn)真學(xué)習(xí)��、貫徹信息安全管理體系文件�����。
加強(qiáng)自身的管理體系水平,不僅是信息安全管理體系試運(yùn)行本身的需要�,也是保證試運(yùn)行成功的關(guān)鍵�����。所有與信息安全管理體系活動(dòng)有關(guān)的人員都應(yīng)按體系文件要求,做好信息安全的信息收集��、分析�、傳遞、反饋�、處理和歸檔等工作����。信息安全體系文件屬于組織的信息資產(chǎn)��,包含有關(guān)組織的全部安全管理等敏感信息��,組織應(yīng)按照信息分類的原則對其進(jìn)行分類、進(jìn)行密級(jí)標(biāo)注并實(shí)行嚴(yán)格的安全控制�����,未經(jīng)授權(quán)不得隨意復(fù)制或借閱���。
解決體系試運(yùn)行中暴露出的問題����,如體系設(shè)計(jì)不周、項(xiàng)目不全等進(jìn)行協(xié)調(diào)�����、改進(jìn)���。信息安全管理體系的運(yùn)行涉及組織體系范圍的各個(gè)部門��,在運(yùn)行過程中���,各項(xiàng)活動(dòng)往往不可避免的發(fā)生偏離標(biāo)準(zhǔn)的現(xiàn)象��,因此,組織應(yīng)按照嚴(yán)密����、協(xié)調(diào)����、高效��、精簡����、統(tǒng)一的原則����,建立信息反饋與信息安全協(xié)調(diào)機(jī)制對異常信息反饋和處理,對出現(xiàn)的問題加以改進(jìn)�,并保證體系的持續(xù)正常運(yùn)行��。
實(shí)踐是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)。 體系文件通過試運(yùn)行必然會(huì)出現(xiàn)一些問題����,全體員工應(yīng)將實(shí)踐中出現(xiàn)的問題和改進(jìn)意見如實(shí)反饋給有關(guān)部門,以便采取糾正措施。
客服咨詢
158-0008-7775 
