ISO27001是ISO27000系列的主标准,类似于ISO9000系列中的ISO9001,各类组织可以按照ISO27001的要求建立自己的信息安全管理体系(ISMS)。信息安全管理体系认证,是针对企业提升信息安全管理能力打造的国际化标准,ISO27001目前已是国际范围内传播最广泛、最典型的信息安全管理标准,不受地域、产品类别和公司规模限制,可有效保护信息资源,保护信息化进程健康、有序、可持续发展。
什么是信息安全管理体系ISO27001?
ISO27001体系帮助组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用的方法。ISMS核心目的是确保信息资产的机密性、完整性和可用性,并从内部和外部威胁中保护信息资产。其包括一系列的政策、流程、程序、组织结构和技术控制措施,旨在管理和保护组织的信息资产。通过实施ISMS,组织可以强化员工的信息安全意识,规范信息安全行为,对关键信息资产进行全面系统的保护,并在信息系统受到侵袭时确保业务持续开展,将损失降到最低程度。此外,通过体系认证可以证明组织有能力保障重要信息,提高组织的知名度与信任度。
ISO27001标准正文结构:
为什么需要考虑ISO27001标准?
层出不穷的网络安全事件、商业间谍无孔不入、商业机密泄露使企业遭受损失等都是会对企业造成不可估量的损失。
1、目前信息安全面临信息系统固有的脆弱性(信息易传播、易损毁、易伪造;硬件、网络、系统的复杂性与脆弱性;行动的远程化使安全管理面临挑战);
2、信息具有重要的价值(信息社会对信息高度依赖,信息的风险加大;信息的高附加值会引发盗窃、滥用等威胁)。
通过引进信息安全管理体系,能全面了解自身的重要信息资产和信息安全现状,使企业的信息安全得到有效管理和控制;强化员工的信息安全意识,规范组织信息安全行为,减少损失,降低风险成本;增强知识产权的保护,满足客户和法律法规要求;维护公司的声誉、品牌和客户信任,保护公司商务安全,给投资方带来企业持续发展的信心;提高公司信息资产的安全性,保持业务持续发展和竞争优势。
申请ISO27001的基本条件?
1、中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或符合要
求的相关文件;外国企业持有关机构的登记注册证明。
2、申请方的信息安全管理体系已按ISO27001标准建立,并实施运行至少3个月以上。
3、至少完成一次内部审核,并进行了管理评审。
4、信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
MUNIK能提供什么样的服务?
MUNIK秒尼科专业的信息安全管理体系团队,由国内外的专业信息安全公司核心骨干组成,我们提供ISO 27001信息安全管理体系的全程技术服务,这包括:
l 启动阶段:概念培训、确定范围、启动项目、建立项目组;
l 计划阶段:标准培训、确定详细计划;
l 实施阶段:方法培训、风险分析;
l 交付阶段:风险处置、建立制度;
l 验收阶段:发布运行、内审回顾。
MUNIK提供的项目实施流程有哪些?
u 准备工作阶段
Ø 确定ISMS范围
Ø 制定实施计划
Ø 建立信息安全组织
Ø ISO27001标准培训
Ø 基线审核
u 风险评估阶段
Ø 信息资产识别
Ø 风险评估与管理培训
Ø 风险评估
Ø 风险处理
Ø 业务持续性计划
Ø 适用性声明
u 文件编写阶段
Ø 文件编写培训
Ø 确定体系文件框架
Ø 文件编写
Ø 文件评审
Ø 文件发布与宣贯
u 运行完善阶段
Ø 试运行
Ø 内部审核员培训
Ø 第一次内审及改进
Ø 第二次内审及改进
Ø 管理评审
u 认证审核阶段
Ø 提交认证申请
Ø 预审
Ø 文件评审
Ø 现场审核
Ø 获证
如果您需要技术交流,欢迎和我们邮件联系!Shmunik@munik.com
交流内容如下但不限于以下内容 :
如何建立、实施和运行ISMS?
在进行ISMS建设以及27001认证时,ISO/IEC17799中哪些方面,控制点、控制措施需要重点参考?
