河北iso27001信息安全管理体系的重要性
一、信息安全的重要性
Ø 信息及其支持过程的系统和网络都是组织的重要资产。信息的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要。
Ø 任何组织及其信息系统(如一个组织的ERP系统)和网络都可能面临着包括计算机辅助欺诈、刺探、阴谋破坏行为、火灾、水灾等大范围的安全威胁。随着计算机的日益发展和普及,计算机病毒、计算机盗窃、服务器的非法入侵破坏已变得日益普遍和错综复杂。
Ø 目前一些组织,特别是一些较大型公司的业务已经完全依赖信息系统进行生产业务管理,这意味着组织更易受到安全威胁的破坏。组织内网络的互连及信息资源的共享增大了实现访问控制的难度。
Ø 有些组织的信息系统尽管在设计时可能已考虑了安全,但仅仅依靠技术手段实现安全仍然是有限的,还应当通过管理和程序来支持。
Ø 英国曾做过一项统计,80%的信息资料的损失是与人为因素有关的。所以防止人为因素造成的信息风险被作为信息安全的主要控制对象。信息安全是通过执行一套适当的控制来达到的。可以是方针、惯例、程序、组织结构和软件功能来实现,这些控制方式需要确定,才能保障组织特定的安全目标的实现。
二、建立ISMS对组织的意义?
组织可以参照信息安全管理模型,按照先进的信息安全管理标准建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,使信息风险的发生概率和结果降低到可接受水平,并采取措施保证业务不会因风险的发生而中断。组织建立、实施与保持信息安全管理体系将会:
* 强化员工的信息安全意识,规范组织信息安全行为;
* 对组织的关键信息资产进行全面系统的保护,维持竞争优势;
* 在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;
* 使组织的生意伙伴和客户对组织充满信心;
三、ISMS建立和运行的流程
四、咨询认证所需申请材料?
1.1.认证申请条件
申请方应具有明确的法律地位;
受审核方已经按照ISMS标准建立文件化的管理体系;
现场审核前,受审核方的管理体系至少有效运行三个月并进行了一次完整的内部审核和管理评审;
1.2.ISMS认证须提交的材料清单
法律地位证明文件(如企业法人营业执照、组织机构代码证书)
有效的资质证明、产品生产许可证强制性产品认证证书等(需要时)
组织简介(产品及与产品/服务有关的技术标准、强制性标准、使用设备、人员情况等)
申请认证产品的生产、加工或服务工艺流程图;
服务场所、多场所需提供清单;
管理手册、程序文件及组织机构图;
服务器数量以及终端数量;
服务计划、服务报告、容量计划
诚宾信铭公司长期从事ISO系列国际标准的理论研究、咨询和培训服务,积累了丰富的咨询经验,积聚了一批专业的咨询专家队伍,能够为各类客户提供专业的ISO9001、ISO14001、ISO27001等认证咨询服务。
我公司为企业/组织提供的ISO27001咨询服务主要包括以下内容:
1. 人员培训:
(1)信息安全管理意识培训;
(2)信息安全管理体系内审员培训;
(3)风险分析评估方法培训;
(4)信息安全管理体系文件编写培训;
(5)信息安全管理体系文件实施培训;
3. 分析评估:
(1)指导客户制定系统化的风险评估方法;
(2)指导客户目标资产进行梳理和识别;
(3)指导客户对重要资产进行系统、细致的风险评估;
(4)指导客户对已识别风险进行处理,形成信息安全风险处理计划;
(5)指导客户建立必要的风险管理文件和记录。
4. 建立信息安全管理体系(ISMS):
(1)指导客户定义信息安全方针和目标,确定信息安全管理体系范围;
(2)指导客户确定已评估风险的处置方式,对处置方式定义控制措施和目标;
(3)提供信息安全管理体系适用性声明书;
(4)指导客户进行风险处理,将信息安全风险降低到可接受的程度;
(5)提供信息安全管理体系总体方案;
(6)指导客户建立ISO27001信息安全管理体系,制定《信息安全管理手册》;
(7)指导客户编制信息安全管理体系程序及规范;
(8)指导客户进行信息安全管理体系的试运行。
5. 体系运行、评价:
(1)指导客户对信息安全管理体系进行内部审核、管理评审;
(2)指导客户检查风险处理情况,评估剩余风险;
(3)根据内审、管理评审结果,衡量体系的有效性;
(4)协助客户采取适当的预防措施;
(5)体系改进;
6. 认证审核、整改:
(1)指导客户选择认证机构
(2)提交认证申请材料;
(3)指导客户配合认证机构接受审核;
(4)指导客户对审核机构提出的不符合项进行整改;
(5)对客户进行对信息安全管理体系的下一步扩展、运行提出建议。
