ISO27001認(rèn)證被譽為國際上最嚴(yán)謹(jǐn)����、最權(quán)威、也是最被廣泛接受和應(yīng)用的信息安全領(lǐng)域的體系認(rèn)證標(biāo)準(zhǔn)����,其前身為英國的BS7799標(biāo)準(zhǔn)����,由英國標(biāo)準(zhǔn)協(xié)會(BSI)于1995年2月提出,歷經(jīng)十年的實踐探索后�����,最終通過國際標(biāo)準(zhǔn)化組織(ISO)的認(rèn)可轉(zhuǎn)換為國際標(biāo)準(zhǔn)。
我們早在2016年1月27日就獲得ISO27001國際信息安全管理體系認(rèn)證���,這也是電子合同行業(yè)內(nèi)首批獲得該認(rèn)證的服務(wù)提供商。通過ISO27001的認(rèn)證審核�,也是借鑒國際通用的標(biāo)準(zhǔn)��,系統(tǒng)的、全面的�、科學(xué)有效的管理和保障用戶和平臺數(shù)據(jù)的信息安全���。2018年下半年在認(rèn)證即將三年期滿之際�,我們引薦了ISO體系的制訂方英國標(biāo)準(zhǔn)協(xié)會(BSI)作為測評機構(gòu)��,經(jīng)過BSI更加嚴(yán)謹(jǐn)����、更加規(guī)范�、更加專業(yè)的審核����,于2019年1月順利取得了全球權(quán)威的標(biāo)準(zhǔn)研發(fā)和國際認(rèn)證評審服務(wù)提供商BSI頒發(fā)的認(rèn)證。這也標(biāo)志著我們的信息安全管理水平又上升了一個等級�����。
通過ISO27001認(rèn)證�����,不僅表明了權(quán)威組織對我們信息安全的高度認(rèn)可����,也證明了我們有能力為企業(yè)及用戶提供安全可靠的電子合同服務(wù)��。
ISO27001認(rèn)證信息安全風(fēng)險評估���,是實施風(fēng)險評估的前提�,為了保證評估過程的可控性以及評估結(jié)果的客觀性�����,在信息安全風(fēng)險評估實施前應(yīng)進(jìn)行充分的準(zhǔn)備和計劃信息安全風(fēng)險評估的準(zhǔn)備活動包括:
(1)確定信息安全風(fēng)險評估的目標(biāo)
在ISO27001信息安全風(fēng)險評估準(zhǔn)備階段應(yīng)明確風(fēng)險評估的目標(biāo)�����,為信息安全風(fēng)險評估的過程提供導(dǎo)向。信息安全需求是一個組織為保證其業(yè)務(wù)正常����、有效運轉(zhuǎn)而必須達(dá)到的信息 安全要求,通過分析組織必須符合的相關(guān)法律法規(guī)����、組織在業(yè)務(wù)流程中對信息安全等的保密性�����、完整性、可用性等方面的需求�����,來確定信息安全險評估的目標(biāo)����。
(2)確定信息安全風(fēng)險評估的范圍
既定的ISO27001信息安全風(fēng)險評估可能只針對組織全部資產(chǎn)的一個子集,評估范圍必須明確。描述范圍最重要的是對于評估邊界的描述���。評估的范圍可能是單個系統(tǒng)或者是多個關(guān)聯(lián)的系統(tǒng)比較好的方法是按照物理邊界和邏輯邊界來描述某次風(fēng)險評估的范圍。
(3)組建適當(dāng)?shù)脑u估管理與實施團隊
在評估的準(zhǔn)備階段,評估組織應(yīng)成立專門的評估團隊,具體執(zhí)行組織的信息安全風(fēng)險評估�。團隊成員應(yīng)包括評估單位領(lǐng)導(dǎo)�、信息安全風(fēng)險評估專家����、技術(shù)專家,還應(yīng)該包括管理層�、業(yè)務(wù)部門�����、人力資源��、IT系統(tǒng)和來自用戶的代表。
(4)進(jìn)行系統(tǒng)調(diào)研
系統(tǒng)調(diào)研是確定被評估對象的過程。風(fēng)險評估團隊?wèi)?yīng)進(jìn)行充分的系統(tǒng)調(diào)研�����,為信息安全風(fēng)險評估依據(jù)和方法的選擇���、評估內(nèi)容的實施奠定基礎(chǔ)�。調(diào)研內(nèi)容至少應(yīng)包括:業(yè)務(wù)戰(zhàn)略及管理制度�����、主要的業(yè)務(wù)功能和要求;網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境�,包括內(nèi)部連接和外部連接����、系統(tǒng)邊界;主要的硬件、軟件:數(shù)據(jù)和信息���、統(tǒng)和數(shù)據(jù)的敏感性;支持和使用系統(tǒng)的人員。
(5)確定信息安全風(fēng)險評估依據(jù)和方法
ISO27001信息安全風(fēng)險評估依據(jù)包括現(xiàn)有國際或國家有關(guān)信息安全標(biāo)準(zhǔn)����、組織的行業(yè)主管機關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度�、組織的信息系統(tǒng)互聯(lián)單位的安全要求�����、組織的信息系統(tǒng) 本身的實時性或性能要求等�����。根據(jù)信息安全評估風(fēng)險依據(jù),并綜合考慮信息安全K險評估的目的�����、范圍���、時間��、效果、評估人員素質(zhì)等因素,選擇具體的風(fēng)險計算方 法,并依據(jù)組織業(yè)務(wù)實施對系統(tǒng)安全運行的需求.確定相關(guān)的評估剡斷依據(jù)���,使之能夠與組織壞境和安全要求相適應(yīng)。
(6)制定信息安全風(fēng)險評估方案
ISO27001信息安全風(fēng)險評估方案的內(nèi)容一般包括:團隊組織:包括評估團隊成員、組織結(jié)構(gòu)��、角色�����、責(zé)任等內(nèi)容��。工作計劃、信息安全風(fēng)險評估各階段的工作計劃����,包括工作內(nèi)容�、工作形式���、工作成果等內(nèi)容����、時間進(jìn)度安排、項目實施的時間進(jìn)度安排�����。
(7)獲得最高管理者對信息安全風(fēng)險評估工作的支持
ISO27001信息安全風(fēng)險評估需要相關(guān)的財力和人力的支持���,管理層必須以明示的方式表明對評估活動的支持,對資源調(diào)配做出承諾����,并對信息安全風(fēng)險評估小組賦予足夠的權(quán)利,信息安全風(fēng)險評估活動才能順利進(jìn)行。
在做好風(fēng)險評估的準(zhǔn)備工作之后���,需要對企業(yè)的當(dāng)前的信息安全系統(tǒng)進(jìn)行資產(chǎn)識別、威脅識別和脆弱性識別。
此外,在對企業(yè)進(jìn)行信息安全風(fēng)險評估之前�,如果要保障企業(yè)信息安全風(fēng)險評估過程順利實現(xiàn)并且風(fēng)險評估結(jié)果真實有效�����,最重要的一點是要首先針對企業(yè)的信息安全 管理工作制定一個風(fēng)險評估策略。好的風(fēng)險評估策略是風(fēng)險評估模型是否設(shè)計成功的關(guān)鍵����,同時����,一個好的風(fēng)險評估策略需要包括企業(yè)信息安全風(fēng)險產(chǎn)生的起因以及 進(jìn)行風(fēng)險評估操作的范圍和目的���。
由于企業(yè)的信息安全風(fēng)險的產(chǎn)生因素包括外部風(fēng)險因素和內(nèi)部風(fēng)險因素��,這些風(fēng)險因素都是企業(yè)日常工作中時刻面臨的����。風(fēng)險因素是企業(yè)信息安全風(fēng)險事故發(fā)生的潛存原因����,風(fēng)險因素主要是引起企業(yè)信息安全風(fēng)險事故發(fā)生 的大小以及頻率的因素,是企業(yè)信息安全風(fēng)險出現(xiàn)威脅和損失的內(nèi)在和間接的原因。因此,要定時定量的對這些風(fēng)險進(jìn)行評估來測定其風(fēng)險程度。
客服咨詢
158-0008-7775 
