什么是ISO27001?
ISO27001认证是信息安全管理体系认证。
信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。
通过ISO27001认证的企业,能有效保证企业在信息安全领域的可靠性,降低企业泄密风险,更好的保存核心数据。
ISO27001起源和发展
ISO27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。
BS7799分为两个部分:BS7799-1,信息安全管理实施规则BS7799-2,信息安全管理体系规范。第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
2000年,国际标准化组织(ISO)在BS7799-1的基础上制定通过了ISO 17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO 17799再次修订,BS7799-2也于2005年被采用为ISO27001:2005。
2013年修订原版本,正式使用ISO/IEC27001:2013版。
如何建立信息安全管理体系?
首先是确立管理体系适用的范围
需要覆盖公司的各个职能部门,也可以覆盖公司信息系统相连的外部机构,如供应商、合作伙伴等。同时从系统层次考虑覆盖网络系统、服务器平台系统、应用系统、数据、安全管理以及支撑信息系统的场所和所处的周边环境及场所内保障计算机系统正常运行的设施设备等。
安全风险评估,主要包括企业安全管理类的评估和企业安全技术类的评估
安全管理类评估的内容包括ISO27001信息安全管理体系相关的11个方面,包括信息安全策略、安全组织、资产分类与控制、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发与维护、安全事件管理、业务连续性管理、符合性。
安全技术类评估是基于资产安全等级的分类,通过对信息设备进行的安全扫描、安全设备的配置,检查分析现有网络设备、服务器系统、终端、网络安全架构的安全现状和存在的弱点,为安全加固提供依据。
规划体系建设方案
规划体系建设方案是在风险评估的基础上,对企业中存在的安全风险提出安全建议,增强系统的安全性和抗攻击性。
信息安全体系的建设与运行
信息安全体系是在信息安全模型与企业信息化的基础上建立的,体系应该兼顾内外安全的功能。规划信息安全技术可以从安全基础设施、网络、系统、应用等四个方面进行规划。
改进
ISO27001认证标准的信息安全管理体系文件编制完成以后,按照文件控制的要求进行审核批准,向各部门发放先行有效的体系文件,保留体系运行过程中的记录,并定期进行内审和管理评审,对不符合或潜在不符合项进行纠正和预防措施,不断改进信息安全管理体系。
关于我们:
中标通国际认证(深圳)有限公司简称中标通认证,是由国家工商管理行政总局行政审批,经国家认证认可监督委员会(CNCA)批准的第三方认证机构(批准号:CNCA-R-2019-533)。其认证业务包含管理体系认证、知识产权管理体系认证、信息安全管理体系认证、信息技术服务管理体系认证、服务体系认证。中标通认证拥有一支来自全国各地各行业具有丰富管理及认证审核实践经验的专家组成的审核队伍,也包括一批掌握现代企业管理知识与思想,富于开拓与创新精神,年富力强的中青年管理团队。
中标通认证严格遵守国家的有关法律法规的规定,并按照认可机构的要求,建立并运行有效的质量管理体系,确保按有关文件要求开展认证审核活动,确保认证的质量满足国家和有关认可机构的要求,并接受国家认证认可监管部门和认可机构的监督,为社会提供增值的认证服务。
认证热线:19935567854