ISO/IEC27001信息安全管理体系(ISMS-Information Security Management System)标准为企业和单位提供一套管理工具,从而降低了相应的风险,确保企业业务的连续性。推行ISO/IEC27001标准的组织将受益匪浅:由于按照国际标准实施适当的控制措施,组织便能自行将信息保安的失误率降至最低。以系统化的方法处理符合法律的问题,从而降低所需承担的法律责任风险。以系统化的方法计划及管理运营的持续性。增强客户、合作伙伴和相关人士对机构的信心。
ISO27001标准把信息资料看作公司的资产,其对公司的生存与发展起着关键作用,尤其是在知识经济和电子信息时代,确保信息安全更是非常有必要的。ISO27001信息安全管理体系一个重要的方面是对信息风险的分析与管理。信息风险涉及可能造成信息损失的方方面面。比如电脑病毒有导致信息资料丢失或损坏的危险,可规定定期进行电脑病毒的检查;外来人员进入本公司有导致信息资料失窃的危险,可规定采用门口设密码、电子卡等方式进入公司;更新电脑软件有导致资料无法读取的风险,可规定在进行电脑软件的更新时对电脑软件的兼容性进行评估等。
信息安全是通过执行一套适当的控制来达到的。可以是方针、惯例、程序、组织结构和软件功能来实现,这些控制方式需要确定,才能保障组织特定的安全目标的实现。
保密性:确保只有经过授权的人才能存取信息。
完整性:维护提供使用的信息为正确与完整的,未受破坏或篡改。
可用性:确保经过授权的用户在需要时可以存取信息并使用相关信息。
总的来说,凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论,都是信息安全所要研究的范畴,也是信息安全所要实现的目标。
ISO/IEC27001:2013标准包括11大控制领域,39个控制目标和133项控制措施,为组织提供全方位的信息安全保障。在实施的过程中,组织可以根据企业的实际情况,法律法规合约等因素选择适用的控制措施,也可增加额外的控制措施。
1)安全策略(体现企业对信息安全管理体系的支持与承诺)
2)信息安全组织(建立信息安全管理架构,用于公司内部信息安全的管理和控制)
3)资产管理(确保对组织各项资产的安全进行有效保护)
4)人力资源安全(制订所有人员的安全职责与角色)
5)物理和环境安全(对组织的运营场所做出安全要求)
6)通信和操作管理(完善公司内外的沟通与联系,以利于信息安全管理体系的顺利进行)
7)访问控制(管理信息资产的访问行为)
8)信息系统获取、开发和维护(确保公司的IT项目和相关的支持活动已实施安全控制)
9)信息安全事故管理(通报信息安全事故并采取纠正措施,确保实施有效的信息安全事故管理办法)
10)业务连续性管理(制订企业持续运营计划,保护企业核心业务免受重大灾难的中断与影响)
11)符合性(符合法律法规合约的要求)
1)以信息安全风险为关注焦点;
2)以重要资产为关注焦点;
3)以组织部门的职责要求为关注焦点;
4)以信息系统为关注焦点。
信息及其支持过程的系统和网络都是组织的重要资产。信息的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。
任何组织及其信息系统(如组织的ERP系统)和网络都可能面临着包括计算机辅助欺诈、刺探等破坏行为、火灾、水灾等大范围的安全威胁。随着计算机的日益发展和普及,计算机病毒、计算机服务器的非法入侵破坏已变得日益普遍和错综复杂。
有些组织的信息系统尽管在涉及时可能已考虑了安全,但仅仅依靠技术手段实现安全仍然是有限的,还应当通过管理和程序来支持。
组织可以参照信息安全管理模型,按照先进的信息安全管理标准——ISO27001标准建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,使信息风险的发生概率和结果降低到可接受水平,并采取措施保证业务不会因风险的发生而中断。组织建立,实施与保持信息安全管理体系会:
l 强化员工的信息安全意识,规范组织信息安全行为
l 对组织的关键信息资产进行全面系统的保护,维持竞争优势
l 在信息体系受到侵袭时,确保业务持续开展并将损失降到最低程度
l 使组织的生意伙伴和客户对组织充满信心
ISO27001认证企业需提前准备的资料
1. 公司简介(文字介绍)
2. 公司营业执照(副本)- 扫描件
3. 公司组织机构代码证(副本)- 扫描件
4. 其他相关的行业许可资质(如系统集成资质、增值电信许可资质、软件著作权、专利、商标许可等)
5. 组织结构图(部门架构 和 目前公司的主要人员姓名、归属部门、岗位 )
6. 公司网络拓扑图
7. 公司内现有的办公电脑设备清单、网络设备/服务器设备清单
8. 公司现有IT方面的管理制度的收集与整理(如:计算机管理规定、上网管理规定、系统数据备份、升级管理规定)
9. 最近一年内的典型项目清单(客户名称、项目名称、提供的产品/服务内容简介、起止时间)
2-3个月
以上报价为认证费和咨询费一起
单独咨询费或认证费,根据公司认证人数范围定
认证人数的确定
需要根据实际认证范围所涵盖的人员来定.
比如认证范围为软件开发,那就需要涉及软件开发相关的人数是多少
还有别的范围,也是以此为算
如果公司人数少,比如有30人,以全公司人数算就可以.按45人范围内或25人范围内做认证
扫一扫咨询
知企网微信官方客服
客服热线:400-885-0909
24小时在线咨询
*我们将对您的号码严格保密,请放心使用
扫码下载APP
服务评价
好评度