ISO27001體系咨詢

   1、 什么是ISMS

  信息安全管理體系(Information Security Management System,簡稱為ISMS)是1998年前后從英國發展起來的信息安全領域中的一個新概念,是管理體系(Management System,MS)思想和方法在信息安全領域的應用。近年來,伴隨著ISMS國際標準的制修訂,ISMS迅速被全球接受和認可,成為世界各國、各種類型、各種規模的組織解決信息安全問題的一個有效方法。ISMS認證隨之成為組織向社會及其相關方證明其信息安全水平和能力的一種有效途徑。

  ISO已為信息安全管理體系標準預留了ISO/IEC27000系列編號,類似于質量管理體系的IS9000系列和環境管理體系的ISO14000系列標準。

  規劃的ISO27000系列包含下列標準

  ISO 27000 原理與術語 (Principles and vocabulary)

  ISO 27001 信息安全管理體系—要求 ISMS Requirements (以BS 7799-2為基礎)

  ISO 27002 信息技術—安全技術—信息安全管理實踐規范 (ISO/IEC 17799:2005)

  ISO 27003 信息安全管理體系—風險管理 (ISMS Risk management)

  ISO 27004 信息安全管理體系—指標與測量 (ISMS Metrics and measurement)

  ISO 27005 信息安全管理體系—實施指南 (ISMS Implementation guidelines)

  其中ISO27001:2005 的最終標準草案(FDIS)已經在2005年7月發布,預計在2005年底或2006年初作為正式國際標準發布。

  ISO27001是ISO27000系列的主標準,類似于ISO9000系列中的ISO9001,各類組織可以按照ISO27001的要求建立自己的信息安全管理體系(ISMS),并通過認證。目前的有效版本是BS7799-2:2002。當ISO27001正式發布后,BS7799-2:2002將被撤銷。

  BS7799是英國標準協會(British Standards Institute,BSI)于1995年2月制定的信息安全標準,1999年5月,BSI對BS 7799進行了修訂改版,發展成為后來最主要的一個版本,2000年12月,BS 7799內容中的第一部分被ISO采納,正式成為ISO/IEC 17799標準。BS7799分兩個部分:

  第一部分,也就是納入到ISO/IEC 17799:2000標準的部分,是信息安全管理實施細則(Code of Practice for Information Security Management),主要供負責信息安全系統開發的人員作為參考使用,其中分十個標題,定義了127個安全控制。

  BS7799-1:1999(ISO/IEC 17799:2000)中的內容標題分別是:

  1.安全策略(Security policy)

  2.資產和資源的組織(Organization of assets and resources)

  3.人員安全(Personnel security)

  4.物理和環境安全(Physical and environmental security)

  5.通信和操作管理(Communication and operation management)

  6.訪問控制(Access control)

  7.系統開發和維護(System development and maintenance)

  8.業務連續性管理(Business continuity management)

  9.符合性(Compliance)

  第二部分,是建立信息安全管理體系(ISMS)的一套規范(Specification for Information Security Management Systems),其中詳細說明了建立、實施和維護信息安全管理系統的要求,指出實施機構應該遵循的風險評估標準,當然,如果要得到BSI最終的認證(對依據BS7799-2建立的ISMS進行認證),還有一系列相應的注冊認證過程。目前,BS 7799-2的2002年版本已經遞交ISO組織,可望成為國際標準。

  BS7799標準要求基于PDCA管理模型來建立和維護信息安全管理體系(ISMS)。為了實現ISMS,組織應該在計劃(Plan)階段通過風險評估來了解安全需求,然后根據需求設計解決方案;在實施(Do)階段將解決方案付諸實現;解決方案是否有效?是否有新的變化?應該在檢查(Check)階段予以監視和審查;一旦發現問題,需要在措施(Act)階段予以解決,以便改進ISMS。通過這樣的過程周期,組織就能將確切的信息安全需求和期望轉化為可管理的信息安全體系。

  2、 為什么需要ISMS

  今天,我們已經身處信息時代,在這個時代,“計算機和網絡”已經成為組織重要的生產工具,“信息”成為主要的生產資料和產品,組織的業務越來越依賴計算機、網絡和信息,它們共同成為組織賴以生存的重要信息資產。

  可是,計算機、網絡和信息等信息資產在服務于組織業務的同時,也受到越來越多的安全威脅。病毒破壞、黑客攻擊、信息系統癱瘓、網絡欺詐、重要信息資料丟失以及利用計算機網絡實施的各種犯罪行為,人們已不再陌生,并且這樣的事件好像經常在我們身邊發生。信息資產一旦遭到破壞,將給組織帶來直接的經濟損失、損害組織的聲譽和公眾形象,使組織喪失市場機會和競爭力,更為甚者,會威脅到組織的生存。

  因此,保護信息資產,解決信息安全問題,已經成為組織必須考慮的問題。

  人們開始逐漸意識到管理在解決信息安全問題中的作用。于是ISMS應運而生。2000年12月,國際標準化組織發布一個信息安全管理的標準-ISO/IEC 17799:2000“信息安全管理實用規則(Code of practice for information security management)”,2005年6月,國際標準化組織對該標準進行了修訂,頒布了ISO/IEC17799:2005(現已更名為ISO/IEC27002:2005),10月,又發布了ISO/IEC27001:2005“信息安全管理體系要求(Information Security Management System Requirement)”。

  自此,ISMS在國際上確立并發展起來。今天,ISMS已經成為信息安全領域的一個熱門話題。

  3、 什么是ISMS認證

  所謂認證,即由可以充分信任的第三方認證機構依據特定的審核準則,按照規定的程序和方法對受審核方實施審核,以證實某一經鑒定的產品或服務符合特定標準或規范性文件的活動。

  針對ISO/IEC 27001的受認可的認證,是對組織ISMS符合ISO/IEC 27001 要求的一種認證。這是一種通過權威的第三方審核之后提供的保證:受認證的組織實施了ISMS,并且符合ISO/IEC 27001標準的要求。通過認證的組織,將會被注冊登記。

  4、為什么要進行ISMS認證

  根據CSI/FBI的Computer Crime and Security Survey2005中的統計, 65%的組織至少發生了一次信息安全事故,而在這份報告中同時表明有97%的組織部署了防火墻,96%組織部署了殺毒軟件。可見,我們的信息安全手段并不奏效,信息安全現狀不容樂觀。

  實際上,只有在宏觀層次上實施了良好的信息安全管理,即采用國際上公認的最佳實踐或規則集等,才能使微觀層次上的安全,如物理措施等,實現其恰當的作用。采用ISMS標準并得到認證無疑是組織應該考慮的方案之一。

  1) 預防信息安全事故,保證組織業務的連續性,使組織的重要信息資產受到與其價值相符的保護,包括防范:

  l 重要的商業秘密信息的泄漏、丟失、篡改和不可用;

  l 重要業務所依賴的信息系統因故障、遭受病毒或攻擊而中斷;

  2) 節省費用。一個好的ISMS不僅可通過避免安全事故而使組織節省費用,而且也能幫助組織合理籌劃信息安全費用支出,包括:

  l 依據信息資產的風險級別,安排安全控制措施的投資優先級;

  l 對于可接受的信息資產的風險,不投資安全控制;

  3) 保持組織良好的競爭力和成功運作的狀態,提高在公眾中的形象和聲譽,最大限度的增加投資回報和商業機會;

  增強客戶、合作伙伴等相關方的信任和信心。

  5、ISO27001標準特點

  注重體系的完整性,是一套科學的信息安全管理體系

  以風險評估為基礎

  強調對法律法規的符合性

  廣泛適用于各類組織

  與ISO9000標準有很強的兼容性

 

  6、ISO27001適用領域

  ISO27001適用于所有類型的組織(例如,企業、政府機構、非贏利組織)。ISO27001從組織的整體業務風險的角度,為建立、實施、運行、監視、評審、保持和改進文件化的ISMS規定了要求。它規定了為適應不同組織及其下屬部門的需要而定制的安全控制措施的實施要求。

  當由于組織及其業務特性,標準中的任何要求不適用時,可以考慮進行刪減。如果有刪減,除非這些刪減不影響組織提供信息安全滿足風險評估和適用法規要求和責任的能力,否則不能聲稱符合ISO27001標準。

  信息安全對每個企業或組織來說都是需要的,所以信息安全管理體系認證具有普遍的適用性,不受地域、產業類別和公司規模限制。從目前的獲得認證的企業情況看,較多的是涉及電信、保險、銀行、數據處理中心、IC制造和軟件外包等行業。

  7、實施ISO27001標準的好處

  保護企業的知識產權、商標、競爭優勢

  維護企業的聲譽、品牌和客戶信任

  減少可能潛在的風險隱患,減少信息系統故障、人員流失帶來的經濟損失

  強化員工的信息安全意識,規范組織信息安全行為

  在信息系統受到侵襲時,確保業務持續開展并將損失降到最低程度

  8、 ISMS實施方法

  根據ISO/IEC27001,企業應采用PDCA的過程方法從11個信息安全控制措施建立和實施ISMS,如下圖: 

11個方面133項信息安全控制措施

ISO/IEC27001附錄A

信息安全控制措施域

控制目標

控制措施

A5

安全方針

1

2

A6

信息安全組織

2

11

A7

資產管理

2

5

A8

人力資源安全

3

9

A9

物理和環境安全

2

13

A10

通信和操作管理

10

32

A11

訪問控制

7

25

A12

信息系統獲取、開發和維護

6

16

A13

信息安全事件管理

2

5

A14

業務連續性管理

1

5

A15

符合性

3

10

合計

39

133

 

   9    認證咨詢服務流程和工作內容

階段

工作組階段工作內容

準備和啟動階段

1、識別信息安全要求,進行差距分析

2、制訂項目工作計劃,明確項目時間表

3ISMS培訓,包括全員意識培訓、標準要求培訓、風險評估培訓

規劃(建立)

1、制訂信息安全方針和范圍

2、編制風險評估程序文件

3、執行風險評估

4、編制風險處理計劃

5、編制SOA(適用聲明)文件

6、編制ISO/IEC27001 4.3.1要求的其他相關ISMS文件

7ISO/IEC27001 涉及的信息安全技術控制措施的方案設計、評審(可選)

8、企業提出的特定的信息安全技術控制措施的方案設計、評審(可選)

實施(實施和運行)

1、批準ISMS文件并頒布實施

2、對ISMS文件開展宣傳貫徹和培訓

3、確保承擔信息安全職責的員工按照ISMS文件要求執行

檢查(監視和評審)

1、編制控制措施有效性測量程序

2、實施檢查和測量

3、內審員培訓和執行內部審核

4、執行管理評審

改進(持續改進)

1、采取預防措施(可選)

2、采取糾正措施(可選)

3、采取措施,持續改進ISMS

台湾麻将算番图解
中国体育 特马资料最准三肖三码 pk10大小玩法技巧 海云台国语版免费观看 贵州快三走势图和值 新时时五星玩法 2019年香港马会正版挂牌大全 天津快三开奖结果查询 赛车pk10信誉群 325游戏输钱怎么要回来 广东36选7走势图 内蒙古时时计划软件 云南快乐十分中奖规则 辽宁快12开奖走势图 天津时时网页计划 百人牛牛2