設為首頁 | 加入收藏 | 聯系我們
認證咨詢項目
軍標認證咨詢 保密認證咨詢 武器生產許可 裝備承制名錄 涉密備案咨詢 涉密系統集成 載體印制資質 物資供應商庫 GJB5000A咨詢 軍用產品咨詢 TS16949咨詢 EN15085咨詢 AS9100咨詢 CAAC航空咨詢 IRIS鐵路咨詢 CRCC鐵路咨詢 URCC城軌咨詢 CCPC交通咨詢 CCSR體系咨詢 CCS產品咨詢 HACCP咨詢 BRC食品安全咨詢 清真食品咨詢 有機食品咨詢 ISO13485咨詢 藥品產品GMP咨詢 保健食品GMP咨詢 醫療器械GMP咨詢 HSE認證咨詢 API石油認證咨詢 CNAS實驗室咨詢 檢測檢驗機構咨詢 CMA資質認證咨詢 醫學實驗室資質 國防實驗室咨詢 司法鑒定資質咨詢 測量管理體系咨詢 計量標準考核證書 計量器具型式證書 CPA計量許可證 火災報警產品認證 火災防護產品認證 消防裝備產品認證 消防車產品認證 滅火設備產品認證 技術鑒定產品認證 特種設備辦理 生產許可證辦理 醫療器械許可 LA資質辦理
 
品牌咨詢項目 當前您的位置:智匯源顧問>>品牌咨詢項目
ISO27001信息安全體系認證

★ISO27001認證知識★---★ ISO27001認證簡介★

申請★ISO27001認證★的條件

ISO27001信息安全管理體系,即Information Security Management System,簡稱ISMS。概念最初來源于英國標準學會制定的BS7799標準, 并伴隨著其作為國際標準的發布和普及而被廣泛地接受。ISO/IEC27001:2005 標準在2005年10月公布,同時取締了多國采納的英國標準BS7799-2:2002。

★重慶CMMI認證★重慶ISO27001認證★重慶ISO20000認證★重慶GJB5000A認證★四川CMMI認證★四川ISO27001認證★四川ISO20000認證★四川GJB5000A認證★重慶CCRC認證★

 

申請ISO27001認證的條件

1. 中國企業持有工商行政管理部門頒發的《企業法人營業執照》、《生產許可證》或等效文件;外國企業持有關機構的登記注冊證明。
2. 申請方的信息安全管理體系已按ISO/IEC27001:2005標準的要求建立,并實施運行3個月以上。
3. 至少完成一次內部審核,并進行了管理評審。
4. 信息安全管理體系運行期間及建立體系前的一年內未受到主管部門行政處罰。

申請ISO27001認證應提交的文件及材料
1、組織法律證明文件,如營業執照及年檢證明復印件(蓋公章);
2、組織機構代碼證書復印件、稅務登記證復印件(蓋公章);
3、申請認證組織的信息安全管理體系有效運行的證明文件(如體系文件發布控制表,有時間標記的記錄等復印件);
4、申請組織的簡介:
1) 組織簡介(1000字左右);
2) 申請組織的主要業務流程;
3) 組織機構圖或職能表述文件;
5、申請組織的體系文件,需包含但不僅限于(可以合并):
1) 信息安全管理體系ISMS方針文件;
2) 風險評估程序;
3) 適用性聲明;
4) 風險處理程序;
5) 文件控制程序;
6) 記錄控制程序;
7) 內部審核程序;
8) 管理評審程序;
9) 糾正措施與預防措施程序;
10) 控制措施有效性的測量程序;
11) 職能角色分配表;
12) 整個體系文件結構與清單。
6、申請組織體系文件與GB/T22080-2008/ISO/IEC 27001:2005要求的文件對照說明;
7、申請組織內部審核和管理評審的證明資料;
8、申請組織記錄保密性或敏感性聲明;
9、認證機構要求申請組織提交的其他補充資料。

★重慶CMMI認證★重慶ISO27001認證★重慶ISO20000認證★重慶GJB5000A認證★四川CMMI認證★四川ISO27001認證★四川ISO20000認證★四川GJB5000A認證★重慶CCRC認證★

 

 ISO27001認證對企業的好處
(1)預防信息安全事故,保證組織業務的連續性,使組織的重要信息資產受到與其價值相符的保護,包括防范:
*  重要的商業秘密信息的泄漏、丟失、篡改和不可用;
*  重要業務所依賴的信息系統因故障、遭受病毒或攻擊而中斷;
(2)節省費用。一個好的ISMS不僅可通過避免安全事故而使組織節省費用,而且也能幫助組織合理籌劃信息安全費用支出,包括:
*  依據信息資產的風險級別,安排安全控制措施的投資優先級;
*  對于可接受的信息資產的風險,不投資或減少投資;
(3)保持組織良好的競爭力和成功運作的狀態,提高在公眾中的形象和聲譽,最大限度的增加投資回報和商業機會;
(4)增強客戶、合作伙伴等相關方的信任和信心。
(5)降低法律風險;
   (6)強化員工的信息安全意識、規范組織的信息安全行為。

★重慶CMMI認證★重慶ISO27001認證★重慶ISO20000認證★重慶GJB5000A認證★四川CMMI認證★四川ISO27001認證★四川ISO20000認證★四川GJB5000A認證★重慶CCRC認證★

 

ISO27001標準內容
本詞條缺少名片圖,補充相關內容使詞條更完整,還能快速升級,趕緊來吧!
信息安全管理要求ISO/IEC27001的前身為英國的BS7799標準,該標準由英國標準協會(BSI)于1995年2月提出,并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分: BS7799-1,信息安全管理實施規則 BS7799-2,信息安全管理體系規范。第一部分對信息安全管理給出建議,供負責在其組織啟動、實施或維護安全的人員使用;第二部分說明了建立、實施和文件化信息安全管理體系(ISMS)的要求,規定了根據獨立組織的需要應實施安全控制的要求。

中文名
信息安全管理
外文名
ISO27001
前    身
英國的BS7799標準
提出時間
1995年2月
目錄
1. 1 基本信息
2. 2 新版修訂
3. 3 認證公司
4. 4 相關文章
基本信息
標準的起源和發展
信息安全管理實用規則ISO/IEC27001的前身為英國的BS7799標準,該標準由英國標準協會(BSI)于1995年2月提出,并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分:
BS7799-1,信息安全管理實施規則
BS7799-2,信息安全管理體系規范。
第一部分對信息安全管理給出建議,供負責在其組織啟動、實施或維護安全的人員使用;第二部分說明了建立、實施和文件化信息安全管理體系(ISMS)的要求,規定了根據獨立組織的需要應實施安全控制的要求。
起源
隨著在世界范圍內,信息化水平的不斷發展,信息安全逐漸成為人們關注的焦點,世界范圍內的各個機構、組織、個人都在探尋如何保障信息安全的問題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關信息安全的本國標準,國際標準化組織(ISO)也發布了ISO17799、ISO13335、ISO15408等與信息安全相關的國際標準及技術報告。目前,在信息安全管理方面,英國標準ISO27001:2005已經成為世界上應用最廣泛與典型的信息安全管理標準,它是在BSI/DISC的BDD/2信息安全管理委員會指導下制定完成,最新版本為ISO27001:2013。
ISO27001標準于1993年由英國貿易工業部立項,于1995年英國首次出版BS 7799-1:1995《信息安全管理實施細則》,它提供了一套綜合的、由信息安全最佳慣例組成的實施規則,其目的是作為確定工商業信息系統在大多數情況所需控制范圍的唯一參考基準,并且適用于大、中、小組織。
1998年英國公布標準的第二部分《信息安全管理體系規范》,它規定信息安全管理體系要求與信息安全控制要求,它是一個組織的全面或部分信息安全管理體系評估的基礎,它可以作為一個正式認證方案的根據。BS 7799-1與BS 7799-2經過修訂于1999年重新予以發布,1999版考慮了信息處理技術,尤其是在網絡和通信領域應用的近期發展,同時還非常強調了商務涉及的信息安全及信息安全的責任。
2000年12月,BS 7799-1:1999《信息安全管理實施細則》通過了國際標準化組織ISO的認可,正式成為國際標準-----ISO/IEC17799:2000《信息技術-信息安全管理實施細則》。2002年9月5日,BS 7799-2:2002草案經過廣泛的討論之后,終于發布成為正式標準,同時BS 7799-2:1999被廢止。2004年9月5日,BS 7799-2:2002正式發布。
2005年,BS 7799-2:2002終于被ISO組織所采納,于同年10月推出ISO/IEC 27001:2005.
2005年6月,ISO/IEC 17799:2000經過改版,形成了新的ISO/IEC 17799:2005,新版本較老版本無論是組織編排還是內容完整性上都有了很大增強和提升。ISO/IEC 17799:2005已更新并在2007年7月1日正式發布為ISO/IEC 27002:2005,這次更新只是在標準上的號碼,內容并沒有改變。
現在,ISO27000:2005標準已得到了很多國家的認可,是國際上具有代表性的信息安全管理體系標準。目前除英國之外,還有荷蘭、丹麥、澳大利亞、巴西等國已同意使用該標準;日本、瑞士、盧森堡等國也表示對ISO27000:2005標準感興趣,我國的臺灣、香港也在推廣該標準。許多國家的政府機構、銀行、證券、保險公司、電信運營商、網絡公司及許多跨國公司已采用了此標準對自己的信息安全進行系統的管理。截至2002年9月,全球共有142家各類組織通過了ISO27000:2005信息安全管理體系認證。

★重慶CMMI認證★重慶ISO27001認證★重慶ISO20000認證★重慶GJB5000A認證★四川CMMI認證★四川ISO27001認證★四川ISO20000認證★四川GJB5000A認證★重慶CCRC認證★

 

發展
2000年,國際標準化組織(ISO)在BS7799-1的基礎上制定通過了ISO 17799標準。BS7799-2在2002年也由BSI進行了重新的修訂。ISO組織在2005年對ISO 17799再次修訂,BS7799-2也于2005年被采用為ISO27001:2005。
ISO27001認證好處
信息安全管理體系標準(ISO27001)可有效保護信息資源,保護信息化進程健康、有序、可持續發展。ISO27001是信息安全領域的管理體系標準,類似于質量管理體系認證的 ISO9000標準。當您的組織通過了ISO27001的認證,就相當于通過ISO9000的質量認證一般,表示您的組織信息安全管理已建立了一套科學有效的管理體系作為保障。根據 ISO27001 對您的信息安全管理體系進行認證,可以
帶來以下幾個好處:
引入信息安全管理體系就可以協調各個方面信息管理,從而使管理更為有效。保證信息安全不是僅有一個防火墻,或找一個24小時提供信息安全服務的公司就可以達到的。它需要全面的綜合管理。
通過進行ISO27001信息安全管理體系認證,可以增進組織間電子電子商務往來的信用度,能夠建立起網站和貿易伙伴之間的互相信任,隨著組織間的電子交流的增加通過信息安全管理的記錄可以看到信息安全管理明顯的利益,并為廣大用戶和服務提供商提供一個基礎的設備管理。同時,把組織的干擾因素降到最小,創造更大收益。
通過認證能保證和證明組織所有的部門對信息安全的承諾。
通過認證可改善全體的業績、消除不信任感。
獲得國際認可的機構的認證證書,可得到國際上的承認,拓展您的業務。
建立信息安全管理體系能降低這種風險,通過第三方的認證能增強投資者及其他利益相關方的投資信心。
組織按照ISO27001標準建立信息安全管理體系,會有一定的投入,但是若能通過認證機關的審核,獲得認證,將會獲得有價值的回報。企業通過認證將可以向其客戶、競爭對手、供應商、員工和投資方展示其在同行內的領導地位;定期的監督審核將確保組織的信息系統不斷地被監督和改善,并以此作為增強信息安全性的依據,信任、信用及信心,使客戶及利益相關方感受到組織對信息安全的承諾。
通過認證能夠向政府及行業主管部門證明組織對相關法律法規的符合性。
新版修訂
自2005年國際標準化組織(簡稱:ISO)將BS 7799轉化為ISO 27001:2005發布以來,此標準在國際上獲得了空前的認可,相當數量的組織采納并進行了信息安全管理體系的認證, 至2011年底,國際上頒發的ISO 27001認證證書總數約為15625張(其中,BSI的市場占有率達約為45.65%)。在我國,自從2008年將ISO 27001:2005轉化為國家標準GB/T 22080:2008以來,信息安全管理體系認證在國內進一步獲得了全面推廣,至2011年底,國內頒發認證證書數量是1107張。越來越多的行業和組織認識到信息安全的重要性,并把它作為基礎管理工作之一開展起來。
然而過去的幾年中,IT領域和通信行業發生了非常大的變革,出現了全面的業務和技術的融合。移動互聯網蓬勃興起、智能手機的廣泛采用、云計算技術的風起云涌,帶來了全新的網絡威脅、數據泄漏和欺詐的風險。面對這樣的變化和趨勢,使得信息安全管理體系標準的更新也變得日益重要。
ISO對標準的更新,一般是以三年為一個周期,但因為ISO 27001::2005標準發布后的巨大成功,以及ICT行業的飛躍發展,使得這個標準的更新變得非常謹慎,至今已有7年。從ISO組織發布的最新信息可以看到,ISO 27001標準的更新籌備實際上已經在2008年開始,任命了工作組(JTC 1/SC 27 WG 1);2009年正式啟動更新。目前,處于該標準草案(Committee Draft)正在編寫委員會討論層面(30.20:2012-06-20),預計新版發布時間會在 2013-10-19,那時我們就可以一睹它的全新面貌了。
從ISO 27001標準新版更新的一些說明材料中,可以看出這次ISO 27001標準改版將會具有以下幾個特征:
采用ISO導則83。ISO導則83,規范了今后ISO管理體系認證標準的基本框架;采用導則83頒布的第一個標準是2012年5月15日發布的業務連續管理體系標準——ISO 22301:2012。
導則83對今后的標準提出了新的框架要求,如下圖示,標注了ISO27001新版與2005版結構的對比和差異:
在這個框架下,明顯的改變有如下幾點:
標準第4-7章,說明管理體系的一般要求,包括: 組織的情境、領導力、策劃和支持;標準第8章,描述ISMS實施要求,包括信息安全風險評估和處置;標準第9章,描述監視,測量和評審活動的要求;標準第10章,描述改善活動的要求;其中,取消了預防措施。信息安全風險管理與ISO 31000風險管理保持一致新版的ISO 27001標準中信息安全風險管理要求與ISO 31000:2009 (Risk management——Principles and guidelines) 保持一致,并遵從其中的定義。
在新版標準中明確了以下要求:
信息安全風險評估:組織應確定如何確定其信息安全風險評估和處置過程的可靠性。 信息安全風險處理:適用時,組織應調整信息安全風險評估和處置過程,以及采用的方法,以改善過程的可靠性。保留附錄A控制措施與控制目標新版ISO 27001依然會保留SOA和附錄A控制目標、控制措施的架構;因此,毫無疑問,ISO 27001的新版修訂一定會與ISO 27002的修訂同步進行。
事實上,關于控制措施和控制目標的修訂,也是應對新的變化的信息安全威脅和風險必須的選擇;這部分的更新,在修訂項目中,接受了大量的修改建議,爭論也相當大,目前還沒有最后的結論。
持續發展27系列支持性標準ISO 27001從誕生第一天開始就不是孤立的,為了支持信息安全管理體系標準,ISO27系列發布了一系列普遍適用和行業適用的參考標準。如下圖:
截止目前,一些支持性標準目前的狀態如下表:
標準 名稱 狀態
ISO 27000 Overview and vocabulary DIS
ISO 27001 Requirements CD
ISO 27002 Code of practice for information security management WD
古希臘哲學家赫拉克利特因其作為辯證法的奠基人聞名于世,他曾經寫道“一切皆流,無物常住”,過去幾年中,國際上幾乎所有行業和組織面臨的信息安全風險的局勢無不體現了赫氏的這一學說。變化和發展是永恒的,信息安全風險總是處在持續演進中,攻擊者的手段依然會層出不窮。因此信息安全管理的實踐和標準都在不斷發展,我們唯一要做的就是保持警惕,隨時準備抵御風險。

★重慶CMMI認證★重慶ISO27001認證★重慶ISO20000認證★重慶GJB5000A認證★四川CMMI認證★四川ISO27001認證★四川ISO20000認證★四川GJB5000A認證★重慶CCRC認證★

 

認證機構
頒發ISO27001信息安全管理體系證書的認證機構必需是經過CNCA國家認證監督委員會(認監委)授權的認證機構方可在國內進行審核發證,所有通過認證且合法的證書均可在CNCA的網站上進行查詢。國外的認證機構如果沒有在國內CNCA備案,即使認證機構得到了認可單位是UKAS或者ANAB等等的認可,也是不符合中國的法律法規的,視為違規操作,被發現將會被CNCA處罰并公示證書在國內無效。經CNCA授權的認證機構可以在CNCA網站上查詢。
關于認證機構與認可機構
認證,認證是指由認證機構證明產品、服務、管理體系符合相關技術規范、相關技術規范的強制性要求或者標準的合格評定活動。認證機構,是經國家認證認可監督管理委員會(CNCA)批準可以在中國境內合法開展管理體系認證和產品認證的專業機構。就是說取得此項認證資質的企業或單位才可以進行審核活動。比如BSI,DNV,北京新世紀認證有限公司,華夏認證中心有限公司等等,他們屬于認證機構。認證機構是經CNCA授權的,認可機構管理認證機構。
認可,是正式表明合格評定機構具備實施特定合格評定工作能力的第三方證明。通俗地講,認可是指認可機構按照相關國際標準或國家標準,對從事認證、檢測和檢查等活動的合格評定機構實施評審,證實其滿足相關標準要求,進一步證明其具有從事認證、檢測和檢查等活動的技術能力和管理能力,并頒發認可證書。中國的認可機構是CNAS,英國的認可機構是UKAS,美國的認可機構是ANAB。
獲得CNAS認可的認證機構名錄如下:中國質量認證中心,上海質量體系審核中心,北京賽西認證有限責任公司,廣州賽寶認證中心服務有限公司,北京新世紀認證有限公司,華夏認證中心有限公司,中國信息安全認證中心,上海挪華威認證有限公司
注:一般說來,證書是由認證機構頒發,認證機構要得到認可機構的授權,認可機構要得到認監委(CNCA)的授權,因此在中國的認證最高管理單位是CNCA。但是有些認證機構經CNCA備案授權,并沒有獲得CNAS的認可,這樣在國內開展被授權的審核業務也是可以的。
國際認證
APM Group(APMG) 代表英國商務部(OGC)在全球進行ISO 27001 Foundation、PRINCE2、P3O-Portfolio, Program and Project Offices、 MSP、M_o_R和ITIL的資質認證工作。業務遍布全球,分別在英國、美國、荷蘭、丹麥、澳大利亞和中國設有分公司。APMG中國是英國APMG公司在中國的全資機構及唯一代表機構。

★重慶CMMI認證★重慶ISO27001認證★重慶ISO20000認證★重慶GJB5000A認證★四川CMMI認證★四川ISO27001認證★四川ISO20000認證★四川GJB5000A認證★重慶CCRC認證★

 

主要內容
標準的主要內容
ISO/IEC17799-2000(BS7799-1)對信息安全管理給出建議,供負責在其組織啟動、實施或維護安全的人員使用。該標準為開發組織的安全標準和有效的安全管理做法提供公共基礎,并為組織之間的交往提供信任。
標準指出“象其他重要業務資產一樣,信息也是一種資產”。它對一個組織具有價值,因此需要加以合適地保護。信息安全防止信息受到的各種威脅,以確保業務連續性,使業務受到損害的風險減至最小,使投資回報和業務機會最大。
內容章節
ISO/IEC17799-2000包含了127個安全控制措施來幫助組織識別在運做過程中對信息安全有影響的元素,組織可以根據適用的法律法規和章程加以選擇和使用,或者增加其他附加控制。國際標準化組織(ISO)在2005年對ISO 17799進行了修訂,修訂后的標準作為ISO 27000標準族的第一部分——ISO/IEC 27001,新標準去掉9點控制措施,新增17點控制措施,并重組部分控制措施而新增一章,重組部分控制措施,關聯性邏輯性更好,更適合應用;并修改了部分控制措施措辭。修改后的標準包括11個章節:
1)安全策略。指定信息安全方針,為信息安全提供管理指引和支持,并定期評審。
2)信息安全的組織。建立信息安全管理組織體系,在內部開展和控制信息安全的實施。
3)資產管理。核查所有信息資產,做好信息分類,確保信息資產受到適當程度的保護。
4)人力資源安全。確保所有員工,合同方和第三方了解信息安全威脅和相關事宜以及各自的責任,義務,以減少人為差錯,盜竊,欺詐或誤用設施的風險。
5)物理和環境安全。定義安全區域,防止對辦公場所和信息的未授權訪問,破壞和干擾;保護設備的安全,防止信息資產的丟失,損壞或被盜,以及對企業業務的干擾;同時,還要做好一般控制,防止信息和信息處理設施的損壞和被盜。
6)通信和操作管理。制定操作規程和職責,確保信息處理設施的正確和安全操作;建立系統規劃和驗收準則,將系統失效的風險降到最低;防范惡意代碼和移動代碼,保護軟件和信息的完整性;做好信息備份和網絡安全管理,確保信息在網絡中的安全,確保其支持性基礎設施得到保護;建立媒體處置和安全的規程,防止資產損壞和業務活動的中斷;防止信息和軟件在組織之間交換時丟失,修改或誤用。
7)訪問控制。制定訪問控制策略,避免信息系統的非授權訪問,并讓用戶了解其職責和義務,包括網絡訪問控制,操作系統訪問控制,應用系統和信息訪問控制,監視系統訪問和使用,定期檢測未授權的活動;當使用移動辦公和遠程控制時,也要確保信息安全。
8)系統采集、開發和維護。標示系統的安全要求,確保安全成為信息系統的內置部分,控制應用系統的安全,防止應用系統中用戶數據的丟失,被修改或誤用;通過加密手段保護信息的保密性,真實性和完整性;控制對系統文件的訪問,確保系統文檔,源程序代碼的安全;嚴格控制開發和支持過程,維護應用系統軟件和信息安全。
9)信息安全事故管理。報告信息安全事件和弱點,及時采取糾正措施,確保使用持續有效的方法管理信息安全事故,并確保及時修復。
10)業務連續性管理。目的是為減少業務活動的中斷,是關鍵業務過程免受主要故障或天災的影響,并確保及時恢復。
11)符合性。信息系統的設計,操作,使用過程和管理要符合法律法規的要求,符合組織安全方針和標準,還要控制系統審計,使信息審核過程的效力最大化,干擾最小化。

★重慶CMMI認證★重慶ISO27001認證★重慶ISO20000認證★重慶GJB5000A認證★四川CMMI認證★四川ISO27001認證★四川ISO20000認證★四川GJB5000A認證★重慶CCRC認證★

 

 

ISO27001的效益
1、通過定義、評估和控制風險,確保經營的持續性和能力
2、減少由于合同違規行為以及直接觸犯法律法規要求所造成的責任
3、通過遵守國際標準提高企業競爭能力,提升企業形象
4、明確定義所有組織的內部和外部的信息接口目標:謹防數據的誤用和丟失
5、建立安全工具使用方針
6、謹防技術訣竅的丟失
7、在組織內部增強安全意識
8、可作為公共會計審計的證據
認識ISO27001國際標準
ISO27001(BS7799/ISO17799)國際標準究竟是什么?它如何幫助一個組織更加有效地管理信息安全?BS7799/ISO27001和ISO9001之間有什么聯系?初次涉獵信息安全管理領域應該掌握哪些內容,以便組織發起信息安全管理項目?如何獲得BS7799國際標準認證?
IT治理和信息安全
近年來企業高層對內部治理需求越來越實際而具體。隨著信息技術普遍滲透到企業組織中的各個方面,企業越來越依賴IT系統來處理和儲存各種信息,以保證業務正常運營,由此IT系統在企業治理中的作z用越來越明晰,IT治理也逐漸被大多數企業認可,成為董事會和企業內部共同關注的領域。IT治理的基礎部分是信息安全保護——包括確保信息的可用性、機密性和完整性——這是其他IT治理環節實施的前提。
與此同時,和信息安全相關的國際標準已經出臺,成為標準IT治理框架中的一大基石。
信息安全和法律法規
業內人士對ISO27001認證趨之若鶩,這其中有兩個關鍵性的驅動因素:一是日益嚴峻的信息安全威脅,二是不斷增長的信息保護相關法規的需求。
本質上說,信息安全威脅是全球化的。一般來說,它將毫無差別地輻射到每一個擁有、使用電子信息的機構和個人。這種威脅在因特網的環境中自動生成并釋放。更嚴重的問題是,其他各種形式的危險也在整日威脅數據安全,包括從外部攻擊行為到內部破壞、偷盜等一系列危險。
過去的十年內,圍繞信息和數據安全問題建立起來的法律法規體系從無到有、不斷壯大,其中包括專門針對個人數據保護問題的,也有針對企業財政、運營和風險管理體系建立的法規保障問題的。一套正式規范的信息安全管理體系應當可以提供最佳實踐部署指導。目前,建立這樣的管理體系逐漸成為諸多合規項目的必要條件,與此同時,針對該管理體系的認證逐漸成為各種組織(包括政府部門)的熱門需求,這份認證可以為他們帶來重要的潛在商業合同。
信息安全和技術
絕大多數人認為信息安全是一個純粹的有關技術的話題,只有那些技術人員,尤其是計算機安全技術人員,才能夠處理任何保障數據和計算機安全的相關事宜。這固然有一定道理。不過,實際上,恰恰是計算機用戶本身需要考慮這樣的問題:避免哪些威脅?在信息安全和信息通暢中如何平衡取舍?的確如此,一旦用戶給出答案,計算機安全專家就可以設計并執行一個技術方案以達成用戶需求。
在組織內部,管理層應當負責決策,而不是IT部門。一個規范的信息安全管理體系必須明確指出,組織機構董事會和管理層應當負責相關信息安全管理體系的決策,同時,這個體系也應當能夠反映這種決策,并且在運行過程中能夠提供證據證明其有效性。
所以機構組織內部的信息安全管理體系的建立項目不必由一個技術專家來領導。事實上,技術專家在很多情況下起到相反的作用,可能會阻礙項目進程。因此,這個項目應該由質量管理經理、總經理或者其他負責機構內部重大職能的執行主管負責主持。

★重慶CMMI認證★重慶ISO27001認證★重慶ISO20000認證★重慶GJB5000A認證★四川CMMI認證★四川ISO27001認證★四川ISO20000認證★四川GJB5000A認證★重慶CCRC認證★


信息安全標準
1995年,英國標準協會(BSI)發布BS7799標準,即ISMS(信息安全管理體系),旨在規范、引導信息安全管理體系的發展過程和實施情況。BS7799標準被外界認為是一個不偏向任何技術、任何企業和產品供應商的價值中立的管理體系。只要實施得當,BS7799標準將幫助企業檢查并確認其信息安全管理手段和實施方案的有效性。
從企業外部來看,BS7799關注信息的可用性、機密性和完整性,至今這仍然是這項標準致力達到的目標。BS7799集中關注企業組織層面上的風險規避(一定程度上主要是商業和金融風險),而不包括避免每一個潛在風險的保護措施——盡管它們至關重要。
BS7799最初僅有一份文檔,且具有明顯的實踐指南性質。也就是說,它為組織提供信息安全指引,但沒有形成規范,不能為外部第三方審計和認證等提供依據。隨著越來越多的企業開始認識到來自信息安全的威脅波及范圍越來越廣,影響程度越來越大,并且關于數據和隱私權保護的法律法規不斷出臺,信息安全標準認證的需求開始不斷增加。
這種需求

公司地址:  重慶市江北區北濱二路江北嘴紫御江山7-8-4  公司電話:13983086348  聯系人:羅老師
小狐仙APP