ISO27001認證被譽為國際上最嚴謹�����、最權威����、也是最被廣泛接受和應用的信息安全領域的體系認證標準����,其前身為英國的BS7799標準���,由英國標準協會(BSI)于1995年2月提出����,歷經十年的實踐探索后,最終通過國際標準化組織(ISO)的認可轉換為國際標準�。
我們早在2016年1月27日就獲得ISO27001國際信息安全管理體系認證��,這也是電子合同行業內首批獲得該認證的服務提供商。通過ISO27001的認證審核���,也是借鑒國際通用的標準,系統的�、全面的��、科學有效的管理和保障用戶和平臺數據的信息安全。2018年下半年在認證即將三年期滿之際,我們引薦了ISO體系的制訂方英國標準協會(BSI)作為測評機構����,經過BSI更加嚴謹����、更加規范���、更加專業的審核�����,于2019年1月順利取得了全球權威的標準研發和國際認證評審服務提供商BSI頒發的認證�����。這也標志著我們的信息安全管理水平又上升了一個等級。
通過ISO27001認證�,不僅表明了權威組織對我們信息安全的高度認可�,也證明了我們有能力為企業及用戶提供安全可靠的電子合同服務���。
ISO27001認證信息安全風險評估�����,是實施風險評估的前提����,為了保證評估過程的可控性以及評估結果的客觀性�����,在信息安全風險評估實施前應進行充分的準備和計劃信息安全風險評估的準備活動包括:
(1)確定信息安全風險評估的目標
在ISO27001信息安全風險評估準備階段應明確風險評估的目標����,為信息安全風險評估的過程提供導向����。信息安全需求是一個組織為保證其業務正常、有效運轉而必須達到的信息 安全要求,通過分析組織必須符合的相關法律法規����、組織在業務流程中對信息安全等的保密性�����、完整性、可用性等方面的需求,來確定信息安全險評估的目標。
(2)確定信息安全風險評估的范圍
既定的ISO27001信息安全風險評估可能只針對組織全部資產的一個子集,評估范圍必須明確���。描述范圍最重要的是對于評估邊界的描述。評估的范圍可能是單個系統或者是多個關聯的系統比較好的方法是按照物理邊界和邏輯邊界來描述某次風險評估的范圍。
(3)組建適當的評估管理與實施團隊
在評估的準備階段�,評估組織應成立專門的評估團隊���,具體執行組織的信息安全風險評估�����。團隊成員應包括評估單位領導�����、信息安全風險評估專家�����、技術專家,還應該包括管理層�����、業務部門�、人力資源、IT系統和來自用戶的代表��。
(4)進行系統調研
系統調研是確定被評估對象的過程。風險評估團隊應進行充分的系統調研����,為信息安全風險評估依據和方法的選擇、評估內容的實施奠定基礎����。調研內容至少應包括:業務戰略及管理制度、主要的業務功能和要求;網絡結構與網絡環境��,包括內部連接和外部連接���、系統邊界;主要的硬件���、軟件:數據和信息、統和數據的敏感性;支持和使用系統的人員��。
(5)確定信息安全風險評估依據和方法
ISO27001信息安全風險評估依據包括現有國際或國家有關信息安全標準���、組織的行業主管機關的業務系統的要求和制度、組織的信息系統互聯單位的安全要求�����、組織的信息系統 本身的實時性或性能要求等�。根據信息安全評估風險依據,并綜合考慮信息安全K險評估的目的��、范圍、時間�����、效果��、評估人員素質等因素�����,選擇具體的風險計算方 法,并依據組織業務實施對系統安全運行的需求.確定相關的評估剡斷依據,使之能夠與組織壞境和安全要求相適應。
(6)制定信息安全風險評估方案
ISO27001信息安全風險評估方案的內容一般包括:團隊組織:包括評估團隊成員、組織結構、角色、責任等內容。工作計劃、信息安全風險評估各階段的工作計劃,包括工作內容�����、工作形式��、工作成果等內容、時間進度安排、項目實施的時間進度安排���。
(7)獲得最高管理者對信息安全風險評估工作的支持
ISO27001信息安全風險評估需要相關的財力和人力的支持,管理層必須以明示的方式表明對評估活動的支持,對資源調配做出承諾,并對信息安全風險評估小組賦予足夠的權利,信息安全風險評估活動才能順利進行��。
在做好風險評估的準備工作之后,需要對企業的當前的信息安全系統進行資產識別�、威脅識別和脆弱性識別���。
此外���,在對企業進行信息安全風險評估之前�,如果要保障企業信息安全風險評估過程順利實現并且風險評估結果真實有效��,最重要的一點是要首先針對企業的信息安全 管理工作制定一個風險評估策略�����。好的風險評估策略是風險評估模型是否設計成功的關鍵,同時�����,一個好的風險評估策略需要包括企業信息安全風險產生的起因以及 進行風險評估操作的范圍和目的。
由于企業的信息安全風險的產生因素包括外部風險因素和內部風險因素���,這些風險因素都是企業日常工作中時刻面臨的����。風險因素是企業信息安全風險事故發生的潛存原因�����,風險因素主要是引起企業信息安全風險事故發生 的大小以及頻率的因素�����,是企業信息安全風險出現威脅和損失的內在和間接的原因�。因此��,要定時定量的對這些風險進行評估來測定其風險程度����。
客服咨詢
158-0008-7775 
