欄目導航

聯系方式:

免費咨詢熱線:
17704812605 14747106719
查看(kàn)詳情+

ISO27001認證

當前位置: 主頁 > ISO27001認證 >
ISO27001信息安全管理(lǐ)系統标準
        随着網絡逐步的進入社會(huì)。越來(lái)越多的接解到(dào)網絡。網絡的普及給人們的生活帶來(lái)了(le)極大(dà)的便利;但(dàn)網絡同時(shí)作(zuò)一柄雙刃劍,給社會(huì)用(yòng)個人也(yě)帶來(lái)了(le)相當的威脅。當信息被意外(wài)或刻意的傳給惡意的接收者時(shí),對(duì)個人或單位都會(huì)帶來(lái)極大(dà)的傷害。有的企業會(huì)因爲信息的外(wài)洩而倒閉。在當今的信息時(shí)代,科技無疑爲我們解決了(le)很(hěn)多問題。
        國際标準組織(ISO)應此類需求,制定了(le)ISO27001:2013标準,爲如何建立、推行、維持及改善信息安全管理(lǐ)系統提供幫助。信息安全管理(lǐ)系統(ISMS)是高(gāo)層管理(lǐ)人員用(yòng)以監察及控制信息安全、減少商業風(fēng)險和(hé)确保保安系統持續符合企業、客戶及法律要求的一個體系。ISO/IEC 27001:2005 能(néng)協助機構保護專利信息,同時(shí)也(yě)爲制定統一的機構保安标準搭建了(le)一個平台,更有助于提升安全管理(lǐ)的實務表現(xiàn)和(hé)增強機構間商業往來(lái)的信心與信任。
 
        什(shén)麽機構可采用(yòng) ISO/IEC 27001:2005 标準?
       任何使用(yòng)内部或外(wài)部電腦(nǎo)系統、擁有機密資料及/或依靠信息系統進行商業活動地機構,均可采用(yòng) ISO/IEC 27001:2005标準。簡單的說,也(yě)就是那些(xiē)需要處理(lǐ)信息、并認識到(dào)信息保護重要性的機構。
        ISO/IEC 27001 的控制目标及措施
        ISO/IEC 27001制定的宗旨是确保機構信息的機密性、完整性及可用(yòng)性,爲達成上(shàng)述宗旨,該标準共提出了(le)39個控制目标及134項控制措施,推行ISO/IEC 27001标準的機構可在其中選擇适用(yòng)于其業務的控制措施,同時(shí)也(yě)可增加其他(tā)的控制措施。而與ISO/IEC 27001相輔的 ISO 17799:2005 标準是信息安全管理(lǐ)的實務守則,爲如何推行控制措施提供指引。
        ISO/ IEC 27001:2013 的架構
        ISO/ IEC 27001:2013 标準在 2015 年 6月公布,同時(shí)取締了(le)多國采納的英國标準BS 7799-2:2002 ,但(dàn)新舊标準的要求并無太大(dà)分别。ISO / IEC 27001:2005 标準以 Edward Deming 博士提出的“計(jì)劃-實施-核查-采取行動”循環周期作(zuò)爲制定藍圖,以實現(xiàn)持續改善的目标。
        I. 計(jì)劃
       計(jì)劃最重要的部分是設定涵蓋的範疇及區(qū)域,它可以是:
       覆蓋整個組織并涉及多個地點的辦事(shì)處及/或廠(chǎng)房
       隻涉及一個辦事(shì)處或廠(chǎng)房
       隻涉及一個多元化服務供應商的其中一個業務
       計(jì)劃的主要工(gōng)作(zuò)包括信息安全管理(lǐ)系統、風(fēng)險評估、風(fēng)險管理(lǐ)、風(fēng)險處理(lǐ)措施和(hé)适用(yòng)性報(bào)告。
       信息安全管理(lǐ)系統是運營風(fēng)險整體管理(lǐ)系統的其中一部分,目的是建立、實施、推行、檢讨、維持及改善信息安全。
       機構在信息的機密性、完整性和(hé)可用(yòng)性三方面的目标各是什(shén)麽呢(ne)?什(shén)麽程度的風(fēng)險是可接受的?是否存在任何限制,如法律、法規或機構内部程序?信息安全政策應該是一份由行政總監簽署認可的文(wén)件。控制措施應采取由上(shàng)至下(xià)的推行方式。
       風(fēng)險評估根據需要保護的信息和(hé)可接受的風(fēng)險程度來(lái)識别真正的風(fēng)險,并就這(zhè)些(xiē)風(fēng)險出現(xiàn)的可能(néng)性與其影響的嚴重性作(zuò)出評估,從(cóng)而辨别出機構需要管理(lǐ)的風(fēng)險,即下(xià)圖紅(hóng)色部分内的風(fēng)險。
       風(fēng)險管理(lǐ) / 風(fēng)險處理(lǐ)
       完成風(fēng)險評估後,便要決定如何處理(lǐ)這(zhè)些(xiē)風(fēng)險。
       适用(yòng)性報(bào)告 (Statement of Applicability)
       識别出所有的保安措施,指出哪些(xiē)對(duì)機構而言是适用(yòng)或不适用(yòng)的,并說明(míng)原因。必須針對(duì)風(fēng)險評估的結果來(lái)選擇控制措施。
       II. 實施
       選定了(le)控制措施後,便需落實推行,同時(shí)也(yě)需制定程序以确保能(néng)夠迅速察覺到(dào)事(shì)故的發生并作(zuò)出回應,并确保所有員工(gōng)都了(le)解信息安全的重要性,且确保其接受了(le)适當的培訓,及有能(néng)力執行他(tā)們負責的保安任務。此外(wài),還要妥善管理(lǐ)所需的資源。
       III. 核查
       核查的目的是确保控制措施都已推行,并能(néng)達到(dào)既定的目标。盡管有多種可行的核查方法,但(dàn)隻有内部審核與管理(lǐ)檢讨是強制性的要求。
       IV. 采取行動
       最後便需對(duì)核查結果采取适當的行動,相關的行動可以是:
       修正
       預防
       改善
 
       總結
       ISO/IEC 27001:2013 标準爲所有行業的機構都提供了(le)一套業務工(gōng)具,協助其避免信息保安的失誤,從(cóng)而降低(dī)了(le)相應的風(fēng)險。正式推行ISO/IEC 27001:2005 并取得有關認證的機構将受益匪淺,以下(xià)列舉其中數項:
       由于按照國際标準實施适當的控制措施,機構便能(néng)自(zì)行将信息保安的失誤率降至最低(dī)
       以系統化的方法計(jì)劃及管理(lǐ)運營的持續性
       以系統化的方法處理(lǐ)符合法律的問題,從(cóng)而減低(dī)所需承擔的法律責任風(fēng)險
       提升營運收入,并爲機構帶來(lái)更多商機
       增加客戶、合作(zuò)夥伴和(hé)相關人士對(duì)機構的信心
網站(zhàn)首頁 /關于我們 /服務項目 /服務流程 /案例展示 /聯系我們

17704812605 / 14747106719

郵箱:nmgaskx@163.com
地址:内蒙古呼和(hé)浩特市賽罕區(qū)新華東街耕耘大(dà)廈2樓

Copyright © 2018 内蒙古碩航信息技術服務有限公司 版權所有 
備案号: 點擊這(zhè)裏給我發消息