信息安全管理體系(InformationSecurityManagementSystems,ISMS)是組織整體管理系統(tǒng)的一部分����。它是基于風(fēng)險(xiǎn)評(píng)估的一系列管理活動(dòng)�,如信息安全的建立���、實(shí)施�����、運(yùn)行、監(jiān)控��、審查����、維護(hù)和持續(xù)改進(jìn)。它是一個(gè)組織在整體或特定范圍內(nèi)建立信息安全政策和目標(biāo)的系統(tǒng)�,以及實(shí)現(xiàn)這些目標(biāo)所采用的方法�。
GB/T22080/ISO/IEC27001是建立和維護(hù)信息安全管理體系的標(biāo)準(zhǔn)����。它要求組織采取確定信息安全管理體系范圍、制定信息安全政策和策略�、明確管理職責(zé)�、基于風(fēng)險(xiǎn)評(píng)估選擇控制目標(biāo)和措施等一系列流程��。它是一種動(dòng)態(tài)的��、系統(tǒng)的、系統(tǒng)的�����、預(yù)防性的組織信息安全管理方法�����。
ISO27001信息安全管理體系認(rèn)證大家都找哪里�����?
信息安全管理體系
一��、標(biāo)準(zhǔn)簡(jiǎn)介
信息是組織生存發(fā)展過(guò)程中至關(guān)重要的因素,隨著科學(xué)技術(shù)的發(fā)展而不斷發(fā)展���,信息安全與組織息息相關(guān)。采用符合最佳實(shí)踐的信息安全管理體系����,可以幫助組織控制關(guān)鍵的信息風(fēng)險(xiǎn)���。
ISO/IEC27001:2013《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》標(biāo)準(zhǔn)的結(jié)構(gòu)和ISO9001:2015及其它管理體系標(biāo)準(zhǔn)一樣����,采用的是SL-10章節(jié)結(jié)構(gòu)形式���,采用過(guò)程方法和PDCA循環(huán)模式��。
ISO27001信息安全管理體系認(rèn)證適用于所有類(lèi)型的組織(例如:商業(yè)企業(yè)�����、政府機(jī)構(gòu)、非盈利組織)���,包括但不限于,銀行�、證券�、保險(xiǎn)等金融機(jī)構(gòu)��;交通、能源等大型國(guó)有企業(yè);互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)服務(wù)提供商�;軟件和信息技術(shù)服務(wù)企業(yè)����;公共管理�����、社會(huì)保障和社會(huì)組織等��。信息安全管理體系認(rèn)證原理和好處
國(guó)際標(biāo)準(zhǔn)化組織/IEC17799-2000包含127項(xiàng)安全控制措施,幫助組織識(shí)別運(yùn)營(yíng)期間影響信息安全的因素��。組織可以根據(jù)適用的法律��、法規(guī)和公司章程選擇和使用它們��,或者添加其他附加控制。國(guó)際標(biāo)準(zhǔn)化組織(標(biāo)準(zhǔn)化組織)于2005年修訂了ISO 17799��。修訂后的標(biāo)準(zhǔn)是ISO27000標(biāo)準(zhǔn)系列的第一部分——國(guó)際標(biāo)準(zhǔn)化組織/IEC 27001���。新標(biāo)準(zhǔn)去掉了9項(xiàng)控制措施���,增加了17項(xiàng)控制措施����,對(duì)部分控制措施進(jìn)行了重組,增加了新的一章,更符合邏輯��,更適合應(yīng)用���。并修改了一些控制措施措辭�。修訂后的標(biāo)準(zhǔn)包括11章:
(1)安全策略。指定信息安全策略,為信息安全提供管理指導(dǎo)和支持,并定期審查���。
(2)信息安全組織�。建立信息安全管理組織體系,在內(nèi)部實(shí)施和控制信息安全的實(shí)施����。
(3)資產(chǎn)管理���。檢查所有信息資產(chǎn)���,對(duì)信息進(jìn)行良好分類(lèi)�����,并確保信息資產(chǎn)得到適當(dāng)保護(hù)���。
(4)人力資源保障�。確保所有員工���、承包商和第三方都了解信息安全威脅和相關(guān)事項(xiàng)以及各自的責(zé)任和義務(wù)����,以減少人為錯(cuò)誤、盜竊、欺詐或?yàn)E用設(shè)施的風(fēng)險(xiǎn)���。
(5)物理和環(huán)境安全。定義安全區(qū)域�����,防止未經(jīng)授權(quán)的訪問(wèn)���、損壞和干擾辦公空間和信息�;保護(hù)設(shè)備安全�����,防止信息資產(chǎn)丟失��、損壞或被盜,干擾企業(yè)業(yè)務(wù)���;同時(shí),應(yīng)進(jìn)行全面控制����,以防止信息和信息處理設(shè)施被損壞或被盜��。
(6)溝通和運(yùn)營(yíng)管理。制定操作規(guī)則和職責(zé)�,確保信息處理設(shè)施的正確和安全運(yùn)行�;建立系統(tǒng)規(guī)劃和驗(yàn)收標(biāo)準(zhǔn)��,將系統(tǒng)故障風(fēng)險(xiǎn)降至最低�����;防范惡意代碼和移動(dòng)代碼,保護(hù)軟件和信息的完整性����;做好信息備份和網(wǎng)絡(luò)安全管理�����,確保網(wǎng)絡(luò)中信息的安全及其配套基礎(chǔ)設(shè)施的保護(hù);建立媒體處置和安全法規(guī)��,防止資產(chǎn)損壞和業(yè)務(wù)中斷�����;防止信息和軟件在組織間交換時(shí)丟失、修改或?yàn)E用。
(7)訪問(wèn)控制�。制定訪問(wèn)控制策略�����,避免未經(jīng)授權(quán)訪問(wèn)信息系統(tǒng),讓用戶(hù)知道自己的責(zé)任和義務(wù)��,包括網(wǎng)絡(luò)訪問(wèn)控制、操作系統(tǒng)訪問(wèn)控制、應(yīng)用系統(tǒng)和信息訪問(wèn)控制�����,監(jiān)控系統(tǒng)訪問(wèn)和使用��,定期檢測(cè)未經(jīng)授權(quán)的活動(dòng)����;在使用移動(dòng)辦公和遠(yuǎn)程控制時(shí)�����,也要保證信息安全����。
(8)系統(tǒng)獲取�、開(kāi)發(fā)和維護(hù)。標(biāo)記系統(tǒng)的安全需求����,確保安全成為信息系統(tǒng)的內(nèi)置部分��,控制應(yīng)用系統(tǒng)的安全性����,防止應(yīng)用系統(tǒng)中用戶(hù)數(shù)據(jù)的丟失、修改或誤用����;通過(guò)加密手段保護(hù)信息的機(jī)密性���、真實(shí)性和完整性��;控制對(duì)系統(tǒng)文件的訪問(wèn),確保系統(tǒng)文檔和源代碼的安全;嚴(yán)格控制開(kāi)發(fā)和支持過(guò)程��,維護(hù)應(yīng)用系統(tǒng)軟件和信息的安全�����。
(9)信息安全事故管理�。報(bào)告信息安全事件和薄弱環(huán)節(jié)��,及時(shí)采取糾正措施����,確保信息安全事件得到持續(xù)有效的管理��,并確保及時(shí)修復(fù)��。
(10)業(yè)務(wù)連續(xù)性管理。目的是減少業(yè)務(wù)活動(dòng)的中斷����,保護(hù)關(guān)鍵業(yè)務(wù)流程免受重大故障或自然災(zāi)害的影響�����,并確保及時(shí)恢復(fù)���。
(11)合規(guī)性�。信息系統(tǒng)的設(shè)計(jì)、運(yùn)行����、使用過(guò)程和管理應(yīng)符合法律法規(guī)�����、組織安全政策和標(biāo)準(zhǔn)的要求,并對(duì)系統(tǒng)審計(jì)進(jìn)行控制����,使信息審計(jì)過(guò)程的有效性最大化��,干擾最小化��。
組織依據(jù)GB/T22080-2016 /ISO/IEC27001:2013 《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》建立、實(shí)施�、保持和持續(xù)改進(jìn)信息安全管理體系�,有以下幫助:
1.符合法律法規(guī)要求
2.維護(hù)組織的聲譽(yù)﹑品牌和客戶(hù)信任
3.履行信息安全管理責(zé)任
4.增強(qiáng)員工的意識(shí)﹑責(zé)任感和相關(guān)技能
5.保持業(yè)務(wù)持續(xù)發(fā)展和競(jìng)爭(zhēng)優(yōu)勢(shì)
6.實(shí)現(xiàn)風(fēng)險(xiǎn)管理
7.減少損失,降低成本
客服咨詢(xún)
158-0008-7775 
