信息安全管理體系(InformationSecurityManagementSystems,ISMS)是組織整體管理系統(tǒng)的一部分。它是基于風險評估的一系列管理活動�,如信息安全的建立、實施�����、運行��、監(jiān)控�、審查、維護和持續(xù)改進�。它是一個組織在整體或特定范圍內(nèi)建立信息安全政策和目標的系統(tǒng),以及實現(xiàn)這些目標所采用的方法���。
GB/T22080/ISO/IEC27001是建立和維護信息安全管理體系的標準�����。它要求組織采取確定信息安全管理體系范圍��、制定信息安全政策和策略��、明確管理職責�、基于風險評估選擇控制目標和措施等一系列流程。它是一種動態(tài)的���、系統(tǒng)的��、系統(tǒng)的�、預防性的組織信息安全管理方法����。
ISO27001信息安全管理體系認證大家都找哪里��?
信息安全管理體系
一��、標準簡介
信息是組織生存發(fā)展過程中至關重要的因素,隨著科學技術的發(fā)展而不斷發(fā)展����,信息安全與組織息息相關。采用符合最佳實踐的信息安全管理體系��,可以幫助組織控制關鍵的信息風險���。
ISO/IEC27001:2013《信息技術 安全技術 信息安全管理體系 要求》標準的結構和ISO9001:2015及其它管理體系標準一樣�����,采用的是SL-10章節(jié)結構形式����,采用過程方法和PDCA循環(huán)模式��。
ISO27001信息安全管理體系認證適用于所有類型的組織(例如:商業(yè)企業(yè)����、政府機構、非盈利組織)�,包括但不限于,銀行�、證券����、保險等金融機構�;交通、能源等大型國有企業(yè)�;互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)服務提供商;軟件和信息技術服務企業(yè)��;公共管理�����、社會保障和社會組織等����。信息安全管理體系認證原理和好處
國際標準化組織/IEC17799-2000包含127項安全控制措施,幫助組織識別運營期間影響信息安全的因素�。組織可以根據(jù)適用的法律����、法規(guī)和公司章程選擇和使用它們,或者添加其他附加控制��。國際標準化組織(標準化組織)于2005年修訂了ISO 17799���。修訂后的標準是ISO27000標準系列的第一部分——國際標準化組織/IEC 27001����。新標準去掉了9項控制措施,增加了17項控制措施�,對部分控制措施進行了重組,增加了新的一章��,更符合邏輯��,更適合應用��。并修改了一些控制措施措辭���。修訂后的標準包括11章:
(1)安全策略�。指定信息安全策略�,為信息安全提供管理指導和支持,并定期審查�����。
(2)信息安全組織�����。建立信息安全管理組織體系,在內(nèi)部實施和控制信息安全的實施��。
(3)資產(chǎn)管理�����。檢查所有信息資產(chǎn)��,對信息進行良好分類��,并確保信息資產(chǎn)得到適當保護����。
(4)人力資源保障。確保所有員工���、承包商和第三方都了解信息安全威脅和相關事項以及各自的責任和義務���,以減少人為錯誤、盜竊����、欺詐或濫用設施的風險。
(5)物理和環(huán)境安全����。定義安全區(qū)域,防止未經(jīng)授權的訪問�����、損壞和干擾辦公空間和信息�;保護設備安全,防止信息資產(chǎn)丟失���、損壞或被盜���,干擾企業(yè)業(yè)務;同時��,應進行全面控制���,以防止信息和信息處理設施被損壞或被盜���。
(6)溝通和運營管理。制定操作規(guī)則和職責��,確保信息處理設施的正確和安全運行;建立系統(tǒng)規(guī)劃和驗收標準�,將系統(tǒng)故障風險降至最低;防范惡意代碼和移動代碼���,保護軟件和信息的完整性��;做好信息備份和網(wǎng)絡安全管理�����,確保網(wǎng)絡中信息的安全及其配套基礎設施的保護���;建立媒體處置和安全法規(guī),防止資產(chǎn)損壞和業(yè)務中斷�;防止信息和軟件在組織間交換時丟失、修改或濫用�����。
(7)訪問控制�����。制定訪問控制策略���,避免未經(jīng)授權訪問信息系統(tǒng)�����,讓用戶知道自己的責任和義務����,包括網(wǎng)絡訪問控制�、操作系統(tǒng)訪問控制、應用系統(tǒng)和信息訪問控制��,監(jiān)控系統(tǒng)訪問和使用�����,定期檢測未經(jīng)授權的活動��;在使用移動辦公和遠程控制時�����,也要保證信息安全�。
(8)系統(tǒng)獲取、開發(fā)和維護��。標記系統(tǒng)的安全需求,確保安全成為信息系統(tǒng)的內(nèi)置部分��,控制應用系統(tǒng)的安全性����,防止應用系統(tǒng)中用戶數(shù)據(jù)的丟失、修改或誤用��;通過加密手段保護信息的機密性�����、真實性和完整性���;控制對系統(tǒng)文件的訪問�,確保系統(tǒng)文檔和源代碼的安全����;嚴格控制開發(fā)和支持過程,維護應用系統(tǒng)軟件和信息的安全�。
(9)信息安全事故管理。報告信息安全事件和薄弱環(huán)節(jié)��,及時采取糾正措施�����,確保信息安全事件得到持續(xù)有效的管理,并確保及時修復��。
(10)業(yè)務連續(xù)性管理���。目的是減少業(yè)務活動的中斷,保護關鍵業(yè)務流程免受重大故障或自然災害的影響�,并確保及時恢復����。
(11)合規(guī)性。信息系統(tǒng)的設計�、運行、使用過程和管理應符合法律法規(guī)����、組織安全政策和標準的要求�,并對系統(tǒng)審計進行控制,使信息審計過程的有效性最大化����,干擾最小化��。
組織依據(jù)GB/T22080-2016 /ISO/IEC27001:2013 《信息技術 安全技術 信息安全管理體系要求》建立�、實施��、保持和持續(xù)改進信息安全管理體系����,有以下幫助:
1.符合法律法規(guī)要求
2.維護組織的聲譽﹑品牌和客戶信任
3.履行信息安全管理責任
4.增強員工的意識﹑責任感和相關技能
5.保持業(yè)務持續(xù)發(fā)展和競爭優(yōu)勢
6.實現(xiàn)風險管理
7.減少損失,降低成本
客服咨詢
158-0008-7775 
