一、ISO27001介紹
ISO27001信息安全管理體系(ISMS),是組織依據(jù)GB/T22080/ ISO/IEC27001(信息技術(shù)安全技術(shù)信息安全管理體系)的要求,是組織整體管理體系的一個部分,是基于風(fēng)險評估,來建立、實施、運行、監(jiān)視、評審、保持和改進信息安全等一系列的管理活動,是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo),以及完成這些目標(biāo)所用方法的體系。
ISO/IEC27001是建立和維護信息安全管理體系的標(biāo)準(zhǔn),它要求組織通過一系列的過程如確定信息安全管理體系范圍,制定信息安全方針和策略,明確管理職責(zé),以風(fēng)險評估為基礎(chǔ)選擇控制目標(biāo)和控制措施等,使組織達到動態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預(yù)防為主的信息安全管理方式。
信息安全對每個企業(yè)或組織來說都是需要的,所以信息安全管理體系認(rèn)證具有普遍的適用性,不受地域、產(chǎn)業(yè)類別和公司規(guī)模限制。從目前的獲得認(rèn)證的企業(yè)情況看,較多的是涉及保險、證券、銀行、金融產(chǎn)業(yè)鏈所涉及的行業(yè)(票據(jù)印刷、??IC卡制造)以及為金融行業(yè)提供服務(wù)的企業(yè)、電信行業(yè)、電力行業(yè)、數(shù)據(jù)處理中心和軟件外包、軟件開發(fā)等行業(yè)。規(guī)定了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實施要求。
二、ISO27000認(rèn)證應(yīng)具備的條件
1、 應(yīng)具備相應(yīng)的資質(zhì)(如營業(yè)執(zhí)照、組織機構(gòu)代碼、相關(guān)的國家行政審批資質(zhì)或行業(yè)資質(zhì));
2、 具備相關(guān)設(shè)施和資源,能正常開展經(jīng)營活動;
3、 能提供三個月以上的經(jīng)營活動記錄。
三、取得認(rèn)證的程序
通常把取得認(rèn)證的程序分為兩個階段:
1、認(rèn)證咨詢階段:合同簽訂后,我公司會派出咨詢老師到企業(yè)進行調(diào)研,確定企業(yè)的認(rèn)證意圖,幫助企業(yè)確定組織機構(gòu)和職責(zé)權(quán)限劃分,體系的覆蓋范圍,編制和完善認(rèn)證所需要的體系文件,對企業(yè)人員相關(guān)進行的培訓(xùn),并指導(dǎo)企業(yè)按體系文件的要求運行,并幫企業(yè)進行認(rèn)證的申請。
2、認(rèn)證審核階段:由認(rèn)證機構(gòu)派出的審核員,到企業(yè)按照認(rèn)證標(biāo)準(zhǔn)及企業(yè)體系文件規(guī)定對企業(yè)申請認(rèn)證范圍的活動的進行檢查,重點是核實企業(yè)的情況及編制認(rèn)證文件和記錄,檢查結(jié)束上報認(rèn)證機構(gòu)頒發(fā)證書。
四、主要記錄文件
管理手冊、信息安全適用性聲明、信息安全管理體系方針 程序文件(信息安全風(fēng)險評估管理程序、文件控制程序、記錄控制程序、信息處理設(shè)備管理程序、文件信息密級控制程序、監(jiān)視和測量管理程序、糾正預(yù)防措施控制程序、人力資源管理程序、信息安全培訓(xùn)管理程序、信息安全人員考察與保密管理程序、惡意軟件控制程序、業(yè)務(wù)持續(xù)性管理程序、變更控制程序、第三方服務(wù)管理程序、管理評審控制程序、物理訪問控制程序、用戶訪問控制程序、遠程訪問管理程序、系統(tǒng)開發(fā)與維護控制程序、事故薄弱點與故障管理程序、內(nèi)部審核控制程序、重要信息備份管理程序等) 控制策略(信息資源保密策略、可移動代碼防范策略、備份安全策略、第三方訪問策略、物理訪問策略、變更管理安全策略、病毒防范策略、帳號管理策略、清潔桌面和清屏策略、運輸中物理介質(zhì)安全策略、電子郵件策略、設(shè)備及布纜安全策略、入侵檢測策略等等。)