珠海市清華苑企業(yè)管理策劃有限公司

檢測通>> 珠海市清華苑企業(yè)管理策劃有限公司

首頁

公司簡介

熱門推薦

檢測認(rèn)證人脈交流通訊錄

ISO27001認(rèn)證咨詢
這真不是您需要的服務(wù)？

直接提問 | 回首頁搜
認(rèn)證機構(gòu)類別：認(rèn)證培訓(xùn)機構(gòu)
認(rèn)證服務(wù)類別：管理體系認(rèn)證

ISO27001認(rèn)證咨詢信息安全管理實用規(guī)則ISOIEC27001的前身為英國的BS7799標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)由英國標(biāo)準(zhǔn)協(xié)會（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標(biāo)準(zhǔn)。BS7799分為兩個部分： BS7799-1，信息安全管理實施規(guī)則 BS7799-2，信息安全管理體系規(guī)范。第一部分對信息安全管理給出建議，供負(fù)責(zé)在其組織啟動、實施或維護(hù)安全的人員使用；第二部分說明了建立、實施和文件化信息安全管理體系（ISMS）的要求，規(guī)定了根據(jù)獨立組織的需要應(yīng)實施安全控制的要求。標(biāo)準(zhǔn)的主要內(nèi)容 ISOIEC17799-2000（BS7799-1）對信息安全管理給出建議，供負(fù)責(zé)在其組織啟動、實施或維護(hù)安全的人員使用。該標(biāo)準(zhǔn)為開發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理做法提供公共基礎(chǔ)，并為組織之間的交往提供信任。標(biāo)準(zhǔn)指出“象其他重要業(yè)務(wù)資產(chǎn)一樣，信息也是一種資產(chǎn)”。它對一個組織具有價值，因此需要加以合適地保護(hù)。信息安全防止信息受到的各種威脅，以確保業(yè)務(wù)連續(xù)性，使業(yè)務(wù)受到損害的風(fēng)險減至最小，使投資回報和業(yè)務(wù)機會最大。信息安全是通過實現(xiàn)一組合適控制獲得的?？刂瓶梢允遣呗浴T例、規(guī)程、組織結(jié)構(gòu)和軟件功能。需要建立這些控制，以確保滿足該組織的特定安全目標(biāo)。內(nèi)容章節(jié) ISOIEC17799-2000包含了127個安全控制措施來幫助組織識別在運做過程中對信息安全有影響的元素，組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用，或者增加其他附加控制。國際標(biāo)準(zhǔn)化組織（ISO）在2005年對ISO 17799進(jìn)行了修訂，修訂后的標(biāo)準(zhǔn)作為ISO 27000標(biāo)準(zhǔn)族的第一部分——ISOIEC 27001，新標(biāo)準(zhǔn)去掉9點控制措施，新增17點控制措施，并重組部分控制措施而新增一章，重組部分控制措施，關(guān)聯(lián)性邏輯性更好，更適合應(yīng)用；并修改了部分控制措施措辭。修改后的標(biāo)準(zhǔn)包括11個章節(jié)： 1）安全策略 2）信息安全的組織 3）資產(chǎn)管理 4）人力資源安全 5）物理和環(huán)境安全 6）通信和操作管理 7）訪問控制 8）系統(tǒng)系統(tǒng)采集、開發(fā)和維護(hù) 9）信息安全事故管理 10）業(yè)務(wù)連續(xù)性管理 11）符合性 ISO27001的效益 1、通過定義、評估和控制風(fēng)險，確保經(jīng)營的持續(xù)性和能力 2、減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責(zé)任 3、通過遵守國際標(biāo)準(zhǔn)提高企業(yè)競爭能力，提升企業(yè)形象 4、明確定義所有組織的內(nèi)部和外部的信息接口目標(biāo)：謹(jǐn)防數(shù)據(jù)的誤用和丟失 5、建立安全工具使用方針 6、謹(jǐn)防技術(shù)訣竅的丟失 7、在組織內(nèi)部增強安全意識 8、可作為公共會計審計的證據(jù) 一、信息安全管理體系認(rèn)證的標(biāo)準(zhǔn)是什么？信息安全管理體系（Information Security Management System,簡稱ISMS）的概念最初來源于英國標(biāo)準(zhǔn)學(xué)會制定的BS7799標(biāo)準(zhǔn), 并伴隨著其作為國際標(biāo)準(zhǔn)的發(fā)布和普及而被廣泛地接受。ISOIEC JTC1 SC27WG1(國際標(biāo)準(zhǔn)化組織國際電工委員會信息技術(shù)委員會安全技術(shù)分委員會第一工作組)是制定和修訂ISMS標(biāo)準(zhǔn)的國際組織。 ISOIEC270012005（《信息安全管理體系要求》）是ISMS認(rèn)證所采用的標(biāo)準(zhǔn)。目前我國已經(jīng)將其等同轉(zhuǎn)化為中國國家標(biāo)準(zhǔn)GBT 22080-2008ISOIEC 270012005。二、 ISOIEC 27000族的成員標(biāo)準(zhǔn)主要有哪些？ ISOIEC 27000族是國際標(biāo)準(zhǔn)化組織專門為ISMS預(yù)留下來的一系列相關(guān)標(biāo)準(zhǔn)的總稱，其包含的成員標(biāo)準(zhǔn)有： 1. ISOIEC 27000 ISMS概述和術(shù)語 IS 2. ISOIEC 27001 信息安全管理體系要求 IS 3. ISOIEC 27002 信息安全管理體系實用規(guī)則 IS 4. ISOIEC 27003 信息安全管理體系實施指南 FDIS 5. ISOIEC 27004 信息安全管理度量 FDIS 6. ISOIEC 27005 信息安全風(fēng)險管理 IS 7. ISOIEC 27006 ISMS認(rèn)證機構(gòu)的認(rèn)可要求 IS 8. ISOIEC 27007 信息安全管理體系審核指南 CD 9. ISOIEC 27008 ISMS控制措施審核員指南 WD 10. ISOIEC 27010 部門間通信的信息安全管理 NP 11. ISOIEC 27011 電信業(yè)信息安全管理指南 IS …… 目前，國際標(biāo)準(zhǔn)化組織（即：ISO）正在不斷地擴充和完善ISMS系列標(biāo)準(zhǔn)，使之成為由多個成員標(biāo)準(zhǔn)組成的標(biāo)準(zhǔn)族。三、中國信息安全認(rèn)證中心開展ISMS認(rèn)證的資質(zhì)有哪些？根據(jù)《中華人民共和國認(rèn)證認(rèn)可條例》規(guī)定，在我國境內(nèi)開展認(rèn)證業(yè)務(wù)須經(jīng)國家主管部門──國家認(rèn)證認(rèn)可監(jiān)督管理委員會批準(zhǔn)并頒發(fā)資質(zhì)證明。中國信息安全認(rèn)證中心是經(jīng)國家認(rèn)證認(rèn)可監(jiān)督管理委員會批準(zhǔn)并頒發(fā)資質(zhì)證明的可從事信息安全管理體系認(rèn)證的正式機構(gòu)。認(rèn)證機構(gòu)的信息安全管理體系認(rèn)證資質(zhì)可查詢?nèi)缦戮W(wǎng)址：httpwww.cnca.gov.cncncacxzqrkcx4424.shtml 同時，中國信息安全認(rèn)證中心是國內(nèi)首家通過中國合格評定國家認(rèn)可委員會能力認(rèn)可的ISMS認(rèn)證機構(gòu)。四、信息安全管理體系證書是否實現(xiàn)了國際互認(rèn)？ 1. 信息安全管理體系（ISMS）認(rèn)證是一種自愿的、基于市場需求的第三方認(rèn)證，其作用是通過認(rèn)證向客戶、合作伙伴等相關(guān)方證明組織在信息安全管理方面的水平和能力，以提供信任和信心。實現(xiàn)ISMS國際互認(rèn)的前提和條件是統(tǒng)一認(rèn)證標(biāo)準(zhǔn)。目前，各國認(rèn)可機構(gòu)均依據(jù)本國認(rèn)證認(rèn)可制度對申請認(rèn)可的認(rèn)證機構(gòu)進(jìn)行認(rèn)可。在不同的國家認(rèn)證認(rèn)可制度下，通過認(rèn)可的認(rèn)證機構(gòu)頒發(fā)的信息安全管理體系認(rèn)證證書，由于認(rèn)證標(biāo)準(zhǔn)都是依據(jù)ISOIEC 270012005國際標(biāo)準(zhǔn)，其證書具有相同的效力。 2. 國際認(rèn)可論壇（IAF）作為有關(guān)國家認(rèn)可機構(gòu)（包括中國CNAS ，英國UKAS，美國ANAB，荷蘭RvA等）參加的多邊合作組織，其主要目標(biāo)是協(xié)調(diào)各國認(rèn)證認(rèn)可制度，通過統(tǒng)一規(guī)范各成員單位的審核員資格要求、認(rèn)證標(biāo)準(zhǔn)及管理體系認(rèn)證機構(gòu)的評定和認(rèn)證程序，使其在技術(shù)運作上保持一致，從而確保有效的國際互認(rèn)。目前，我國已經(jīng)在質(zhì)量管理體系（QMS）、環(huán)境管理體系（EMS）兩個管理體系的認(rèn)證證書與IAF的成員單位簽訂了互認(rèn)協(xié)議。但是信息安全管理體系（ISMS）涉及到安全等敏感問題，各國的認(rèn)可機構(gòu)都沒有在ISMS領(lǐng)域加入IAF，因此還沒有實現(xiàn)國際互認(rèn)。嚴(yán)格說來，帶有CNAS、UKAS、ANAB等標(biāo)志的ISMS認(rèn)證證書都不屬于國際認(rèn)證證書，均不具有國際互認(rèn)性，獲得任何一家認(rèn)證機構(gòu)頒發(fā)的證書都不能稱為獲得了國際認(rèn)證。 3. 中國合格評定國家認(rèn)可中心（CNAS）作為IAF 17個發(fā)起成員單位之一，承擔(dān)著眾多責(zé)任。目前CNAS作為主要協(xié)調(diào)單位，正積極組織開展信息安全管理體系國際互認(rèn)工作，但各國簽署互認(rèn)協(xié)議、加入IAF還有待時日。綜上所述，只有IAF中的各成員單位就ISMS簽署多邊互認(rèn)協(xié)議，同時相關(guān)認(rèn)證機構(gòu)被授權(quán)在所頒發(fā)的ISMS認(rèn)證證書上加貼IAF標(biāo)識后，該ISMS認(rèn)證證書才具有國際互認(rèn)性。五、 ISOIEC 27000族標(biāo)準(zhǔn)中有哪些已轉(zhuǎn)化為中國國家標(biāo)準(zhǔn)？ ISOIEC 270012005 已等同轉(zhuǎn)化為中國國家標(biāo)準(zhǔn)GBT 22080-2008ISOIEC 270012005 《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》（2008-06-19發(fā)布，2008-11-01實施） ISOIEC 270022005 已等同轉(zhuǎn)化為中國國家標(biāo)準(zhǔn)GBT 22081-2008ISOIEC 270022005 《信息技術(shù) 安全技術(shù) 信息安全管理實用規(guī)則》（2008-06-19發(fā)布，2008-11-01實施）目前，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（TC260）信息安全管理工作組（WG7）正在不斷推進(jìn)信息安全管理體系國家標(biāo)準(zhǔn)的編制和轉(zhuǎn)化工作。六、建立信息安全管理體系對組織有什么好處？通過定期的監(jiān)督審核將確保組織的體系不斷地被監(jiān)督和改善，并以此作為增強信息安全性的依據(jù)；通過第三方的認(rèn)證能增強投資者及其他利益相關(guān)方的投資信心；通過認(rèn)證能夠向政府及行業(yè)主管部門證明組織對相關(guān)法律法規(guī)的符合性；通過認(rèn)證能保證和證明組織對信息安全的承諾；通過認(rèn)證可改善組織的業(yè)績、拓展業(yè)務(wù)、消除不信任感。建立信息安全管理體系，能切實提高組織的信息安全管理水平，提高全員信息安全意識，降低信息安全風(fēng)險，保證信息的保密性、完整性和可用性。尤其是通過第三方的認(rèn)證，更能向其他各方證明其信息安全管理能力，因此越來越多的組織建立信息安全管理體系。截止2009年9月，全球有5941個組織獲得了信息安全管理體系認(rèn)證，并且這個數(shù)字正在快速地增長。聯(lián)系人：王老師電話：18666988512 13680305112 QQ：994838559 網(wǎng)址：www.tsinghuayuan.net 地址：珠海市南屏南灣北路32號（V12文化創(chuàng)意產(chǎn)業(yè)園一號樓4F）

珠海市清華苑企業(yè)管理策劃有限公司

王波

[聯(lián)系時請說明來自檢測通]

在線客服:
留言咨詢

聯(lián)系方式：
請點擊查看電話

郵件：
發(fā)送郵件

地址：
珠海市南屏南灣北路32號

珠海市清華苑企業(yè)管理策劃有限公司

熱門推薦

ISO27001認(rèn)證咨詢

推薦服務(wù)