ISO 27001 目標(biāo)
為了保護(hù)信息資產(chǎn)��,使之不因偶然或者惡意侵犯而遭受破壞����、更改及泄露�,保證信息系統(tǒng)能夠連續(xù)、可靠��、正常地運行�����,使安全事件對業(yè)務(wù)造成的影響減到最小���,確保組織業(yè)務(wù)運行的連續(xù)性����,所以需要建立一套信息安全管理體系.
ISO27001就是一個有關(guān)信息安全管理體系(ISMS)的國際標(biāo)準(zhǔn)
ISO27001的理念是基于風(fēng)險評估的信息安全風(fēng)險管理
ISO27001采用PDCA過程方法,全面�、系統(tǒng)、持續(xù)地改進(jìn)組織的信息安全管理
ISO27001可用于組織的信息安全管理體系建立和實施���,保障組織的信息安全
ISO27001正式名稱是:《ISO/IEC27001:2005信息安全技術(shù)-安全技術(shù)-信息安全管理體系要求》
ISO 27001 認(rèn)證過程
1���、選擇受認(rèn)可的認(rèn)證機(jī)構(gòu) | 組織應(yīng)該向認(rèn)證機(jī)構(gòu)提供必要的信息 |
2、預(yù)審(Pre-assessment) | 可選 |
3�、Phase1:文檔審核 | 復(fù)審風(fēng)險評估文檔、安全策略和適用性聲明����;復(fù)審ISMS的其他文檔 |
4、Phase2:現(xiàn)場審查 | ISMS的實施情況���;風(fēng)險管理決策的基礎(chǔ) |
5、維持認(rèn)證 | 組織被授予證書后�����,審核組每年都會對其ISMS符合性進(jìn)行檢查����。證書三年有效�����,之后需要再次認(rèn)證����。組織必須向認(rèn)證機(jī)構(gòu)通報任何變化����。 |
ISO27001的11個Domain
一、信息安全方針(Security Policy)
二�、組織安全(Organizing Information security)
三、資產(chǎn)分類與控制(Asset Management)
四���、人員安全(Human Resource Security)
五����、物理及環(huán)境安全(Physical and Environmental Security)
六�、通信與操作管理(Communications and Operations Management)
七、訪問控制(Access Control)
八��、系統(tǒng)開發(fā)與維護(hù)(Information Systems Acquisition,Development and Maintenance)
九��、信息安全事件管理(Information security incident Management)
十、業(yè)務(wù)持續(xù)性管理(Business Continuity Management)
十一��、符合性(Compliance)
信息安全管理體系建設(shè)方法
Phase 1 風(fēng)險評估
Phase 2 安全管理體系設(shè)計
Phase 3 安全管理體系實施
Phase 4 安全管理體系運行監(jiān)控
Phase 5 安全管理體系持續(xù)改進(jìn)
風(fēng)險評估階段
資產(chǎn)評估
風(fēng)險處置
控制措施
方案實施有形收益
企業(yè)一旦通過ISO27001認(rèn)證�,說明其信息安全管理水平已經(jīng)達(dá)到了國內(nèi)外的先進(jìn)水平;
企業(yè)一旦通過ISO27001認(rèn)證��,說明其已經(jīng)擁有了持續(xù)改善組織信息安全管理的能力����;
企業(yè)一旦通過ISO27001認(rèn)證,信息系統(tǒng)將會得到更好的安全保護(hù)���;
企業(yè)一旦通過ISO27001認(rèn)證�����,將會增強(qiáng)合作者的信心和信任感���;
企業(yè)一旦通過ISO27001認(rèn)證,將會在公眾面前樹立良好的企業(yè)形象���;
企業(yè)一旦通過ISO27001認(rèn)證,會有利于其獲取國內(nèi)外的各種其他的信息安全類認(rèn)證����。