一、ISO27001介紹
ISO27001信息安全管理體系(ISMS),是組織依據GB/T22080/ ISO/IEC27001(信息技術安全技術信息安全管理體系)的要求,是組織整體管理體系的一個部分,是基于風險評估,來建立、實施、運行、監(jiān)視、評審、保持和改進信息安全等一系列的管理活動,是組織在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。
ISO/IEC27001是建立和維護信息安全管理體系的標準,它要求組織通過一系列的過程如確定信息安全管理體系范圍,制定信息安全方針和策略,明確管理職責,以風險評估為基礎選擇控制目標和控制措施等,使組織達到動態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預防為主的信息安全管理方式。
信息安全對每個企業(yè)或組織來說都是需要的,所以信息安全管理體系認證具有普遍的適用性,不受地域、產業(yè)類別和公司規(guī)模限制。從目前的獲得認證的企業(yè)情況看,較多的是涉及保險、證券、銀行、金融產業(yè)鏈所涉及的行業(yè)(票據印刷、??IC卡制造)以及為金融行業(yè)提供服務的企業(yè)、電信行業(yè)、電力行業(yè)、數(shù)據處理中心和軟件外包、軟件開發(fā)等行業(yè)。規(guī)定了為適應不同組織或其部門的需要而定制的安全控制措施的實施要求。
二、ISO27000認證應具備的條件
1、 應具備相應的資質(如營業(yè)執(zhí)照、組織機構代碼、相關的國家行政審批資質或行業(yè)資質);
2、 具備相關設施和資源,能正常開展經營活動;
3、 能提供三個月以上的經營活動記錄。
三、取得認證的程序
通常把取得認證的程序分為兩個階段:
1、認證咨詢階段:合同簽訂后,我公司會派出咨詢老師到企業(yè)進行調研,確定企業(yè)的認證意圖,幫助企業(yè)確定組織機構和職責權限劃分,體系的覆蓋范圍,編制和完善認證所需要的體系文件,對企業(yè)人員相關進行的培訓,并指導企業(yè)按體系文件的要求運行,并幫企業(yè)進行認證的申請。
2、認證審核階段:由認證機構派出的審核員,到企業(yè)按照認證標準及企業(yè)體系文件規(guī)定對企業(yè)申請認證范圍的活動的進行檢查,重點是核實企業(yè)的情況及編制認證文件和記錄,檢查結束上報認證機構頒發(fā)證書。
四、主要記錄文件
管理手冊、信息安全適用性聲明、信息安全管理體系方針 程序文件(信息安全風險評估管理程序、文件控制程序、記錄控制程序、信息處理設備管理程序、文件信息密級控制程序、監(jiān)視和測量管理程序、糾正預防措施控制程序、人力資源管理程序、信息安全培訓管理程序、信息安全人員考察與保密管理程序、惡意軟件控制程序、業(yè)務持續(xù)性管理程序、變更控制程序、第三方服務管理程序、管理評審控制程序、物理訪問控制程序、用戶訪問控制程序、遠程訪問管理程序、系統(tǒng)開發(fā)與維護控制程序、事故薄弱點與故障管理程序、內部審核控制程序、重要信息備份管理程序等) 控制策略(信息資源保密策略、可移動代碼防范策略、備份安全策略、第三方訪問策略、物理訪問策略、變更管理安全策略、病毒防范策略、帳號管理策略、清潔桌面和清屏策略、運輸中物理介質安全策略、電子郵件策略、設備及布纜安全策略、入侵檢測策略等等。)