1、ISO27001和信息安全管理体系
信息安全管理体系(ISMS)是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,可以表示为信息安全方针、原则、目标、方法、过程、核查列表等要素的集合,是一个从策划、实施、检查和改进的一个不断提高的过程。
ISO27001是国际上公认的信息安全管理体系标准,其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准。作为一套管理标准,ISO27001指导相关人员怎样去应用ISO/IEC 17799,其最终目的,在于帮助企业建立适合自身需要的信息安全管理体系
。
ISO27001是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。
2、ISO27001的主要内容
|
Chapter 0 : 简介 |
|
ISO27001控制目标和控制措施 |
|
Chapter 1 : 范围 |
安全方针 |
|
Chapter 2 : 强制性应用标准 |
安全组织 |
|
Chapter 3 : 术语和定义 |
资产分类与控制 |
|
Chapter 4 : 信息安全管理体系 |
人员安全 |
物理与环境安全 |
通信与运行管理 |
系统开发与维护 |
|
Chapter 5 : 管理责任 |
访问控制 |
|
Chapter 6 : ISMS内部审查 |
信息安全事件管理 |
|
Chapter 7 : ISMS管理评审 |
业务持续性管理 |
|
Chapter 8 : ISMS改善 |
符 合 性 |
|
附件A (强制性)控制目标和控制措施 |
|
|
|
|
鼎信纵横依据ISO27001等国际标准,提供信息安全管理体系咨询和实施服务,从人员、技术和管理的角度策划、建立和实施改进信息安全管理体系,保障组织的信息安全,确保组织业务的持续运营,提高企业的核心竞争力。鼎信纵横联合DNV、BSI等国际知名标准制定与认证机构,曾为20多家知名企业提供了ISO27001的认证实施服务,协助企业建立符合国际标准要求的信息安全管理体系,具有丰富的项目实施经验。
3、ISO27001体系实施的6个主要阶段
鼎信纵横根据多年的项目实践,将ISO27001体系认证咨询项目实施的过程分为六个主要阶段:(1)准备阶段、(2)体系策划和风险评估阶段,(3)体系实施阶段,(4)运行审核阶段,(5)认证阶段阶段,(6)体系认证后续审核辅导阶段。
|
ISO27001项目实施步骤 |
|
序号 |
工作阶段(SOW工作分项) |
序号 |
工作阶段(SOW工作分项) |
|
1 |
准备阶段 |
4 |
运行审核阶段-Check |
|
1.1 |
项目启动 |
4.1 |
内部审核培训 |
|
1.2 |
基础培训/风险评估 |
4.2 |
第1次内部审核与改进 |
|
2 |
体系策划和风险评估阶段-Plan |
4.3 |
风险再评估 |
|
2.1 |
体系策划 |
4.4 |
ISO27001体系有效性度量 |
|
2.2 |
差距分析和安全度量 |
4.5 |
第2次内部审核与改进 |
|
2.3 |
关键业务识别 |
4.6 |
ISO27001管理评审 |
|
2.4 |
信息资产识别 |
5 |
认证阶段阶段-Action |
|
2.5 |
风险评估 |
5.1 |
认证申请材料准备 |
|
3 |
体系实施阶段-Do |
5.2 |
文件审核 |
|
3.1 |
风险处置计划和方案 |
5.3 |
现场预审核 |
|
3.2 |
ISO27001体系框架设计 |
5.4 |
现场审核 |
|
3.3 |
ISO27001体系文件培训和编写 |
5.5 |
问题整体、证书申请 |
|
3.4 |
业务连续性演练 |
5.6 |
项目总结 |
|
3.5 |
体系执行 |
6 |
体系认证后续审核辅导阶段 |
4、ISO27001的39个控制目标
|
(1)信息安全方针 |
(7)访问控制 |
|
*信息安全方针 |
*访问控制的业务需求 |
|
(2)安全组织 |
*用户访问管理 |
|
*内部组织 |
*用户职责 |
|
*外部组织 |
*网络访问控制 |
|
(3)资产分类与控制 |
*操作系统访问控制 |
|
*资产责任 |
*应用系统访问控制 |
|
*信息资产分类 |
*移动计算和远程工作 |
|
(4)人力资源安全 |
(8)系统开发与维护 |
|
*人力招聘的安全要求 |
*信息系统的安全需求 |
|
*雇员工作要求 |
*应用系统的安全要求 |
|
*雇员离职与岗位变化安全要求 |
*加密控制 |
|
(5)物理与环境安全 |
*系统文件安全 |
|
*安全区域 |
*开发过程和支持过程的安全 |
|
*设备安全 |
*技术漏洞管理 |
|
(6)通信与操作管理 |
(9)信息安全事件管理 |
|
*操作程序和责任 |
*信息安全事件和脆弱性报告 |
|
*第三方服务交付管理 |
*信息安全事件报告和改进管理 |
|
*系统规划和验收 |
(10)业务连续性管理 |
|
*恶意软件和移动代码 |
*保护关键业务过程的连续性 |
|
*备份 |
(11)符合性 |
业务咨询电话:010-68065886 业务咨询邮件:css@isleader.net
|