<legend id="y9okk"><pre id="y9okk"></pre></legend>

  • <rp id="y9okk"></rp>

    <th id="y9okk"><pre id="y9okk"></pre></th>
  • <tbody id="y9okk"></tbody>
  • ?
    ISO27001全球信息安全管理標準介紹及認證步驟 ?
    發表時間:2018-03-15 11:23:06
    ISO27001標準介紹
    隨著信息技術的迅猛發展,信息安全已成為一個現代企業管理中不容忽視的問題,信息安全管理體系(ISMS)也廣泛應用于各企事業中。
    而ISO27001:2005作為信息安全管理體系的國際標準,為建立、實施、運行、監視、評審、保持和改進ISMS提供了一套詳實可靠的規范體系。
    ISO27001以風險評估為基礎,強調對法律法規的符合性,并采用了“規范(Plan)-實施(Do)-檢查(Check)-處置(Act)”(PDCA)模型,該模型適用于所有的ISMS過程。并與其他管理標準有極強的兼容性。
    應用于ISMS過程的PDCA模型
    Plan規劃(建立ISMS):建立與管理風險和改進信息安全有關的ISMS方針、目標、過程和程序,以提供與組織整體方針和目標相一致的結果。
    Do實施(實施和運行ISMS):實施和運行ISMS方針、控制措施、過程和程序。
    Check檢查(監視和評審ISMS):對照ISMS方針、目標和實踐經驗,評估并在適當時,測量過程的執行情況,并將結果報告管理者以供評審。
    Act處置(保持和改進ISMS):基于ISMS內部審核和管理評審的結果或者其他相關信息,采取糾正和預防措施,以持續改進ISMS。
    ISO27001認證咨詢
    在長期實踐過程中,創新了一套高效可行的ISMS項目實施的規范流程。
    現狀調研分析:本階段主要是前期的準備和計劃工作,包括明確評估目標,確定評估范圍,組建評估管理和實施團隊。通過對主要業務、組織結構、規章制度和信息系統等進行初步調研和溝通來確定評估項目的實施方案,并得到高層許可。
    項目準備:前期溝通交流,建立信息安全管理領導機構,組建信息安全推進團隊,收集整理相關文件、資料。
    走訪調查:訪談調查,核心與支持業務,業務對資源的需求,業務影響分析。確定信息安全管理體系范圍、定義信息安全方針。
    前期培訓:進行信息安全管理意識和信息安全基礎知識的培訓。
    現狀分析:初步理解信息安全現狀,分析與ISO27001標準要求的差距。
    明確職責:明確信息安全職責,并形成文件。
    資產識別和風險評估:對組織信息資產進行資產價值、威脅因素、脆弱性分析,從而評估組織信息安全風險,選擇適當的措施、方法實現管理風險的目的。 
    資產識別:識別組織的各種信息資產。 
    風險評估:重要資產、威脅、弱點、風險識別與評估。 
    體系的規劃和制定:通過對企業的風險評估,制定相應的信息安全整體規劃,管理規劃,技術規劃等。并制定相應有效的安全控制措施。
    文件編寫:確定信息安全管理體系總體方案,編寫ISMS各級管理文件,并由管理層審核確定。
    發布實施:ISMS實施計劃,體系文件發布,控制措施實施。 
    中期培訓:全員文件學習落實,安全意識培訓,ISMS實施推廣培訓,必要的考核。 
    體系的實施:全面實施信息安全管理體系,落實實施信息安全管理技術計劃,執行信息安全管理控制措施。測試體系的有效性和穩定性。 
    體系運行:按制定的安全管理計劃運行體系。 
    后期培訓:對企業內體系執行人員的專業培訓。 
    監督評審和循環改進:通過組織內部審核和管理評審,對組織整體信息安全管理水平進行綜合評價,提出改進方案,制定整改計劃,并在運行中進行不斷的整改。 
    內部審核:建立內部審核機制,制定內部審核方案,糾正審核后發現的問題,跟蹤改進措施的實施。
    管理評審:信息安全管理委員會組織ISMS整體評審,評估ISMS改進的機會和變更的需要,以及體系的運行情況。 
    循環改進:根據內部審核和管理評審中發現的問題,不斷改進體系,以達到預期的要求。 
    審核認證階段:在體系建立并平穩運行一段時間以后,可提出申請認證。
    認證準備:準備送審資料,落實部署審核事項。
    協助認證:內審小組陪同協助,應對審核問題。
    信息安全風險評估是信息安全管理的基礎和關鍵環節。通過開展信息安全風險評估,對網絡與信息系統的資產價值、潛在的安全威脅、薄弱環節、防護措施等進行分析,可以做到心中有數,可以發現信息系統中存在的主要安全問題,并找到解決這些問題的方法,有針對性地進行管理。
    評估準備階段:本階段主要是前期的準備和計劃工作,包括明確評估目標,確定評估范圍,組建評估管理與實施團隊,對主要業務、組織結構、規章制度和信息系統等進行初步調研,溝通和確定風險分析方法,協商并確定評估項目的實施方案,并得到被評估單位的高層許可。盡管評估準備階段的工作比較瑣碎,但準備階段中充分、細致的溝通和合理、精確的計劃,是保證評估工作得以順利實施的關鍵。
    要素識別階段:在準備階段完成之后,將依靠已經建立起來的評估管理和實施團隊,遵照準備階段中確定的實施方案進行評估。首先要進行的就是識別信息安全風險的構成要素——資產、威脅和脆弱性,以及識別和驗證已有安全控制措施的有效性——為下一階段的風險分析收集必要的基礎數據。本階段除了要進行有關要素的識別活動以外,還需要進行要素的分類、賦值以及要素間的關聯等活動,這由所選用的具體評估方法而定。
    風險分析階段:經過識別階段之后,已經得到影響被評估信息系統信息安全風險的基本數據,包括資產、威脅、脆弱性和安全控制措施等。接下來需要根據被評估單位的實際情況制定出一套合理、清晰的影響及可能性等級判據;然后根據這些判據,對主要威脅場景進行分析,描述和評價個主要威脅場景的潛在影響及其發生的可能性,從而確定信息安全風險。經過與被評估單位的溝通與協商,風險分析團隊應以被評估單位所能接受的形式,提交《風險分析報告》和《風險控制建議》。
    匯報驗收階段:本階段主要是按照評估方案所確定的匯報和驗收流程,完成最后評估項目的總結和驗收工作。
    海軒咨詢ISO27001信息安全管理認證步驟 
    第一步:按照ISO27001(BS7799-2:2005)建立框架 
    第二步:認證機構評估費用和正式審核時間 
    第三步:向認證機構遞交正式申請 
    第四步:(可選項)認證機構將進行預審,在正式審核前排除一些重大的確失,同時讓客戶熟悉審核的方法危險評估,審查方針,范圍和采用的程序。檢查體系中遺漏和繁瑣需要修改的地方。 
    第五步:認證機構將進行第一階段審核,主要進行方針,范圍和采用程序的審核,查看風險評估的結果、處理方法和適用性聲明,檢查體系中遺漏和繁瑣需要修改的地方。 
    第六步:認證機構將進行第二階段審核,主要進行實施審核,查看程序規定的執行情況。認證機構通常將現場審核并給出建議。 
    第七步:如果能順利完成審核,在確定清楚認證范圍后,發放信息安全體系證書。在滿足持續審核情況下,三年有效。
     
    信息安全的重要性不言而喻,海軒咨詢熱線:18061670678。
    日韩中文字幕,亚洲成人影院,亚洲男人天堂,神马影院我不卡,日本三级在线播放线观看视频