信息安全管理體系(InformationSecurityManagementSystems,ISMS)是組織整體管理系統(tǒng)的一部分����。它是基于風(fēng)險(xiǎn)評(píng)估的一系列管理活動(dòng),如信息安全的建立�、實(shí)施、運(yùn)行��、監(jiān)控�、審查、維護(hù)和持續(xù)改進(jìn)����。它是一個(gè)組織在整體或特定范圍內(nèi)建立信息安全政策和目標(biāo)的系統(tǒng)�����,以及實(shí)現(xiàn)這些目標(biāo)所采用的方法�。
GB/T22080/ISO/IEC27001是建立和維護(hù)信息安全管理體系的標(biāo)準(zhǔn)。它要求組織采取確定信息安全管理體系范圍�����、制定信息安全政策和策略��、明確管理職責(zé)����、基于風(fēng)險(xiǎn)評(píng)估選擇控制目標(biāo)和措施等一系列流程�。它是一種動(dòng)態(tài)的�����、系統(tǒng)的����、系統(tǒng)的、預(yù)防性的組織信息安全管理方法���。
ISO27001信息安全管理體系認(rèn)證大家都找哪里�?
信息安全管理體系
一、標(biāo)準(zhǔn)簡(jiǎn)介
信息是組織生存發(fā)展過(guò)程中至關(guān)重要的因素���,隨著科學(xué)技術(shù)的發(fā)展而不斷發(fā)展���,信息安全與組織息息相關(guān)。采用符合最佳實(shí)踐的信息安全管理體系,可以幫助組織控制關(guān)鍵的信息風(fēng)險(xiǎn)�。
ISO/IEC27001:2013《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》標(biāo)準(zhǔn)的結(jié)構(gòu)和ISO9001:2015及其它管理體系標(biāo)準(zhǔn)一樣,采用的是SL-10章節(jié)結(jié)構(gòu)形式�,采用過(guò)程方法和PDCA循環(huán)模式。
ISO27001信息安全管理體系認(rèn)證適用于所有類(lèi)型的組織(例如:商業(yè)企業(yè)�、政府機(jī)構(gòu)、非盈利組織)����,包括但不限于,銀行��、證券���、保險(xiǎn)等金融機(jī)構(gòu)����;交通�����、能源等大型國(guó)有企業(yè)�����;互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)服務(wù)提供商�;軟件和信息技術(shù)服務(wù)企業(yè);公共管理�、社會(huì)保障和社會(huì)組織等。信息安全管理體系認(rèn)證原理和好處
國(guó)際標(biāo)準(zhǔn)化組織/IEC17799-2000包含127項(xiàng)安全控制措施���,幫助組織識(shí)別運(yùn)營(yíng)期間影響信息安全的因素����。組織可以根據(jù)適用的法律�、法規(guī)和公司章程選擇和使用它們,或者添加其他附加控制�����。國(guó)際標(biāo)準(zhǔn)化組織(標(biāo)準(zhǔn)化組織)于2005年修訂了ISO 17799���。修訂后的標(biāo)準(zhǔn)是ISO27000標(biāo)準(zhǔn)系列的第一部分——國(guó)際標(biāo)準(zhǔn)化組織/IEC 27001���。新標(biāo)準(zhǔn)去掉了9項(xiàng)控制措施,增加了17項(xiàng)控制措施���,對(duì)部分控制措施進(jìn)行了重組�����,增加了新的一章��,更符合邏輯�,更適合應(yīng)用。并修改了一些控制措施措辭����。修訂后的標(biāo)準(zhǔn)包括11章:
(1)安全策略。指定信息安全策略����,為信息安全提供管理指導(dǎo)和支持,并定期審查�����。
(2)信息安全組織��。建立信息安全管理組織體系�����,在內(nèi)部實(shí)施和控制信息安全的實(shí)施�。
(3)資產(chǎn)管理。檢查所有信息資產(chǎn)��,對(duì)信息進(jìn)行良好分類(lèi)���,并確保信息資產(chǎn)得到適當(dāng)保護(hù)����。
(4)人力資源保障�����。確保所有員工�����、承包商和第三方都了解信息安全威脅和相關(guān)事項(xiàng)以及各自的責(zé)任和義務(wù)����,以減少人為錯(cuò)誤、盜竊�����、欺詐或?yàn)E用設(shè)施的風(fēng)險(xiǎn)��。
(5)物理和環(huán)境安全。定義安全區(qū)域�����,防止未經(jīng)授權(quán)的訪問(wèn)����、損壞和干擾辦公空間和信息;保護(hù)設(shè)備安全��,防止信息資產(chǎn)丟失�、損壞或被盜,干擾企業(yè)業(yè)務(wù)�����;同時(shí)��,應(yīng)進(jìn)行全面控制����,以防止信息和信息處理設(shè)施被損壞或被盜。
(6)溝通和運(yùn)營(yíng)管理����。制定操作規(guī)則和職責(zé),確保信息處理設(shè)施的正確和安全運(yùn)行����;建立系統(tǒng)規(guī)劃和驗(yàn)收標(biāo)準(zhǔn),將系統(tǒng)故障風(fēng)險(xiǎn)降至最低����;防范惡意代碼和移動(dòng)代碼,保護(hù)軟件和信息的完整性��;做好信息備份和網(wǎng)絡(luò)安全管理����,確保網(wǎng)絡(luò)中信息的安全及其配套基礎(chǔ)設(shè)施的保護(hù);建立媒體處置和安全法規(guī)��,防止資產(chǎn)損壞和業(yè)務(wù)中斷��;防止信息和軟件在組織間交換時(shí)丟失��、修改或?yàn)E用�。
(7)訪問(wèn)控制。制定訪問(wèn)控制策略���,避免未經(jīng)授權(quán)訪問(wèn)信息系統(tǒng)����,讓用戶(hù)知道自己的責(zé)任和義務(wù),包括網(wǎng)絡(luò)訪問(wèn)控制�、操作系統(tǒng)訪問(wèn)控制、應(yīng)用系統(tǒng)和信息訪問(wèn)控制���,監(jiān)控系統(tǒng)訪問(wèn)和使用�����,定期檢測(cè)未經(jīng)授權(quán)的活動(dòng)����;在使用移動(dòng)辦公和遠(yuǎn)程控制時(shí)�,也要保證信息安全。
(8)系統(tǒng)獲取�����、開(kāi)發(fā)和維護(hù)�����。標(biāo)記系統(tǒng)的安全需求�����,確保安全成為信息系統(tǒng)的內(nèi)置部分���,控制應(yīng)用系統(tǒng)的安全性�����,防止應(yīng)用系統(tǒng)中用戶(hù)數(shù)據(jù)的丟失���、修改或誤用;通過(guò)加密手段保護(hù)信息的機(jī)密性�����、真實(shí)性和完整性����;控制對(duì)系統(tǒng)文件的訪問(wèn),確保系統(tǒng)文檔和源代碼的安全����;嚴(yán)格控制開(kāi)發(fā)和支持過(guò)程,維護(hù)應(yīng)用系統(tǒng)軟件和信息的安全���。
(9)信息安全事故管理�。報(bào)告信息安全事件和薄弱環(huán)節(jié),及時(shí)采取糾正措施����,確保信息安全事件得到持續(xù)有效的管理,并確保及時(shí)修復(fù)����。
(10)業(yè)務(wù)連續(xù)性管理。目的是減少業(yè)務(wù)活動(dòng)的中斷�,保護(hù)關(guān)鍵業(yè)務(wù)流程免受重大故障或自然災(zāi)害的影響,并確保及時(shí)恢復(fù)�����。
(11)合規(guī)性���。信息系統(tǒng)的設(shè)計(jì)����、運(yùn)行�、使用過(guò)程和管理應(yīng)符合法律法規(guī)、組織安全政策和標(biāo)準(zhǔn)的要求,并對(duì)系統(tǒng)審計(jì)進(jìn)行控制�����,使信息審計(jì)過(guò)程的有效性最大化�����,干擾最小化����。
組織依據(jù)GB/T22080-2016 /ISO/IEC27001:2013 《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》建立�����、實(shí)施��、保持和持續(xù)改進(jìn)信息安全管理體系���,有以下幫助:
1.符合法律法規(guī)要求
2.維護(hù)組織的聲譽(yù)﹑品牌和客戶(hù)信任
3.履行信息安全管理責(zé)任
4.增強(qiáng)員工的意識(shí)﹑責(zé)任感和相關(guān)技能
5.保持業(yè)務(wù)持續(xù)發(fā)展和競(jìng)爭(zhēng)優(yōu)勢(shì)
6.實(shí)現(xiàn)風(fēng)險(xiǎn)管理
7.減少損失,降低成本
客服咨詢(xún)
158-0008-7775 
