返回
ISO27001(ISMS)业务介绍

ISO27001(ISMS)业务介绍

ID:40088291

大小:880.65 KB

页数:17页

时间:2019-07-20

ISO27001(ISMS)业务介绍_第1页
ISO27001(ISMS)业务介绍_第2页
ISO27001(ISMS)业务介绍_第3页
ISO27001(ISMS)业务介绍_第4页
ISO27001(ISMS)业务介绍_第5页
资源描述:

《ISO27001(ISMS)业务介绍》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、ISO27001认证业务常见问题Q:ISO27001认证是什么?A:ISO27001是国际标准,全名是IEC/ISO27001信息安全管理体系规范,他是整个ISO27000标准系列当中的一个标准,该系列标准中包含很多其他标准;另外一个大家常说的标准ISO1779:2005-信息安全实施细则也是与信息安全管理相关的,这个标准当前已经改名为ISO27002:2008了。无论是ISO27001还是ISO27002,都是ISMS标准系列(ISMSFamilyofStandards)之一,ISMS标准系列如下图所示:大家常说的ISO27001认证,就是企业宣称的认证范围内

2、符合ISO27001标准正文里的所有要求,并且有选择的满足ISO27001标准附录A中的内容。附录A中的内容对应标准ISO27002:2008第5章到第15章,企业是可以根据自身的实际情况来选择适用的控制措施,也就是说该标准里的133个控制项不是强制要求通过认证的用户都必须满足的,通常是通过《适用性声明SOA》文件来表达这种适用,因此,通常在通过ISO27001证书里会包含所选《适用性声明SOA》文件的。Q:与BS7799认证有和区别?A:ISO27001认证和BS7799认证的区别得从ISO27001标准发展的历史谈起,ISO27001的发展过程如下图所示:B

3、S7799认证是指企业信息安全管理体系符合英国国家标准BS7799-2,由于BS7799具有广泛的国际认可度,在BS7799-2成为国际标准ISO27001之前,全球企业在选择信息信息安全管理体系认证时,会选择BS7799。Q:到目前为止,国内ISO27001认证情况发展如何?A:目前在国内通过ISO27001认证的企业数已经达到了199家(截至200906),尽管绝对数还不大,但是增长特别快,从下图能观其大概:在这颁发的199张证书里,其中数DNV和BSI颁发占绝大多数,下图是各认证公司颁发证书的统计表(截止到2009年6月):目前国内认证公司有中国信息安全认

4、证中心(简写为ISCCC,09年5月份CNAS认可),华夏认证中心有限公司(UKAS认可,国内试点证书),广州赛宝认证中心服务有限公司(国内试点证书),中国电子技术标准化研究所(国内试点证书)四家,从公开渠道能够查询到的信息来看,截止到2009年7月20日,只有中国信息安全认证中心对外颁发了19张证书,而其他国内认证机构还没有颁出证书。Q:获得ISO27001认证有什么好处?l强化意识,转变观念üISO27001认证是一个组织证明其信息安全水平和能力符合国际标准要求的有效手段,它将帮助组织节约信息安全成本;ü信息安全风险管理的目的是保障企业业务赖以运行IT系统的

5、持续、稳定、安全运行,保障企业业务的连续开展,而不是为企业业务的开展横加了一道枷锁,强调安全保障以业务为中心;ü信息安全工作应该是以IT部门为主导,全员参与的全公司范围内的活动,强调人人有责;ü信息安全管理应该遵循风险管理的思想,强调事先防范,事中控制以及事后总结的工作思路,而不是“问题驱动”的救火思路;ü信息安全问题的解决不应该是“头疼医头,脚疼医脚”的局部问题解决方式,强调整体、系统的分析和解决问题;l规范操作,有法可依ü按照PDCA的方法管理企业信息安全风险,使公司信息安全管理从“无序、零散、被动”的问题补救行为转变为“系统、科学、连贯、主动”的风险驾驭状

6、态;ü完善各类安全管理制度,规范了企业内部各种与信息系统、信息保密等相关的各种操作行为和方式;l良好形象,合规要求ü企业获得国际认证,能提升客户、业务伙伴、投资人对公司重要、以及敏感信息保护能力的信心,提高组织的公众形象和竞争力;ü满足监管单位的合规性要求,以及合作伙伴的信息安全审核的要求;Q:企业初次如何开展ISO27001认证(ISMS建设)项目?企业开展ISO27001认证时,一般都是由IT部门牵头,业务部门配合参入。但是对于规范较小的公司,IT部门的力量非常有限,往往是由质量管理部门牵头主导项目,因为这些公司一般都有实施过管理体系认证(ISO9001或者

7、CMMI)或者项目的经验,信息安全管理体系同质量管理体系具有较大的相似性。前期咨询公司的参入帮助引导主导部门甚至企业领导正确认识信息安全,信息安全管理以及ISO27001认证,就本项目对信息安全的理解和目标达成一致。这非常关键,因为这关系到项目实施过程顺利与否,以及项目目标的达成与否。项目范围的确定在前面已经做了说明,这里不再累赘。ISO27001项目的招标同其他项目没有区别,一般按照企业既定的招标流程走。ISMS体系的建设实施在此也不多说,也有专门的问题。ISMS体系认证工作一般分为两个阶段的工作,第一阶段是文件审核,这个阶段审核员只关注管理体系文件,查看体系

8、文件是否齐全,ISMS建

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。