信息安全管理體系是組織管理體系的一部分���,用于管理相關(guān)信息安全方面的管理體系,以使組織履行合規(guī)義務(wù)����,應對風險和機遇。在互聯(lián)網(wǎng)的世界里�����,所有類型和規(guī)模的組織都要采用不同方式收集���、處理����、存儲和傳輸信息。相關(guān)過程����、系統(tǒng)、網(wǎng)絡(luò)及其操作�����、處理和保護的信息安全具有固有的脆弱性����,容易受到故意或意外的威脅,這些潛在的信息安全風險一直存在�����,并時常會發(fā)生����。有效的信息安全管理可以降低各方的威脅和脆弱性,從而為社會持續(xù)地創(chuàng)造價值��。
一����、信息安全管理體系的起源
隨著在世界范圍內(nèi)信息化水平的不斷發(fā)展,信息安全逐漸成為人們關(guān)注的焦點�����,各機構(gòu)�����、組織���、個人都在探尋如何保障信息安全的問題���。
1995年,英國首次發(fā)布BS 7799-1:1995《信息安全管理實施細則》標準���,該標準提供了有關(guān)信息安全的實施規(guī)則�����,旨在確定工商業(yè)信息安全控制范圍的參考基準���。美國、挪威���、瑞典����、芬蘭、澳大利亞等國也定了有關(guān)信息安全的本國標準���。
1998年�,英國發(fā)布了BS 7799的第二部分��,BS 7799-2:1998《信息安全管理體系規(guī)范》�����,該標準規(guī)定信息安全管理體系要求與信息安全控制要求�,它是一個組織的全面或部分信息安全管理體系評估的基礎(chǔ),它可以作為一個正式認證方案的根據(jù)�。
1999年,BS 7799-1和BS 7799-2經(jīng)過修訂又重新予以發(fā)布�����。新版的BS 7799考慮了信息處理技術(shù)��,尤其是在網(wǎng)絡(luò)和通信領(lǐng)域的應用和發(fā)展,強調(diào)商務(wù)信息安全及信息安全的責任�。
2000年,BS 7799-1:1999《信息安全管理實施細則》通過了ISO的認可���,ISO發(fā)布了ISO 17799:2000《信息技術(shù) 信息安全管理實施細則》標準。
2002年�����,英國對BS 7799-2再次修訂��,發(fā)布BS 7799-2:2002《信息安全管理體系規(guī)范》標準��。
2005年�����,BS 7799-2:2002被ISO所采納��,同年10月�����,ISO推出ISO 27001:2005《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》標準�。
2013年,ISO對ISO/IEC 27001:2015標準進行了修訂,相繼發(fā)布了ISO/IEC 27001:2013《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》標準和ISO/IEC 27002:2013《信息技術(shù) 安全技術(shù) 信息安全控制實施規(guī)程》標準�����。
2016年����,ISO發(fā)布ISO/IEC 27000:2016《信息技術(shù) 安全技術(shù) 信息安全管理體系 概述與詞匯》標準。
建立ISMS是一項艱苦而細致的工作����,需要雙方的積極協(xié)作和配合。網(wǎng)絡(luò)企業(yè)或機構(gòu)的領(lǐng)導層要對ISMS的建立做出承諾���,同時配備必要的人力����、物力和財力資源����,網(wǎng)絡(luò)企業(yè)或機構(gòu)的全體員工也要在體系建立過程中給予咨詢師充分的配合。廣州宇鴻管理咨詢有限公司將根據(jù)網(wǎng)絡(luò)企業(yè)或機構(gòu)的需要���,提供ISMS的全過程專業(yè)化的咨詢服務(wù)��。
按照建立ISMS信息安全管理體系的要求�,我們把整個過程分為五個階段,其實施流程圖如下:
第一階段:準備階段
★ISO/IEC27001:2005標準培訓
此培訓包含信息安全意識培訓和標準精要培訓兩部分���,時間兩天��,通過培訓使網(wǎng)絡(luò)企業(yè)或機構(gòu)管理人員熟悉了解ISO/IEC27001:2005標準的基本內(nèi)容和要求,提高網(wǎng)絡(luò)企業(yè)或機構(gòu)全體員工的信息安全意識�����。
★差距分析
廣州宇鴻咨詢師會同網(wǎng)絡(luò)企業(yè)或機構(gòu)有關(guān)人員對現(xiàn)行的信息安全管理體系與ISO/IEC27001:2005信息安全管理體系標準要求進行比照性診斷����,找出存在的問題和可以在新體系中繼續(xù)采用的管理體制,作為下一步開展工作的依據(jù)��。我們建議對企業(yè)或機構(gòu)整個網(wǎng)絡(luò)系統(tǒng)作一個詳細的網(wǎng)絡(luò)安全測試�����,時間為期3人6天為系統(tǒng)加固和建立信息安全管理體系提供足夠的證據(jù)�����。
差距分析后,充分與網(wǎng)絡(luò)企業(yè)或機構(gòu)高層溝通交流信息安全存在的問題與改進的建議�,協(xié)助企業(yè)確定體系覆蓋范圍、信息安全方針�����、控制措施���、適用性聲明等�����,改進信息安全��。所有問題及建議�,我們會以差距分析報告的形式提交企業(yè)或機構(gòu)或機構(gòu)�����。
★制定詳細實施計劃
根據(jù)差距分析結(jié)果��,制定出詳盡的整個體系實施工作計劃�,并將每項工作落實到部門和具體的時間。
客服咨詢
158-0008-7775 
