ISO 27001 目標
為了保護信息資產(chǎn),使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露,保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運行,使安全事件對業(yè)務(wù)造成的影響減到最小,確保組織業(yè)務(wù)運行的連續(xù)性,所以需要建立一套信息安全管理體系.
ISO27001就是一個有關(guān)信息安全管理體系(ISMS)的國際標準
ISO27001的理念是基于風險評估的信息安全風險管理
ISO27001采用PDCA過程方法,全面、系統(tǒng)、持續(xù)地改進組織的信息安全管理
ISO27001可用于組織的信息安全管理體系建立和實施,保障組織的信息安全
ISO27001正式名稱是:《ISO/IEC27001:2005信息安全技術(shù)-安全技術(shù)-信息安全管理體系要求》
ISO 27001 認證過程
1、選擇受認可的認證機構(gòu) | 組織應(yīng)該向認證機構(gòu)提供必要的信息 |
2、預審(Pre-assessment) | 可選 |
3、Phase1:文檔審核 | 復審風險評估文檔、安全策略和適用性聲明;復審ISMS的其他文檔 |
4、Phase2:現(xiàn)場審查 | ISMS的實施情況;風險管理決策的基礎(chǔ) |
5、維持認證 | 組織被授予證書后,審核組每年都會對其ISMS符合性進行檢查。證書三年有效,之后需要再次認證。組織必須向認證機構(gòu)通報任何變化。 |
ISO27001的11個Domain
一、信息安全方針(Security Policy)
二、組織安全(Organizing Information security)
三、資產(chǎn)分類與控制(Asset Management)
四、人員安全(Human Resource Security)
五、物理及環(huán)境安全(Physical and Environmental Security)
六、通信與操作管理(Communications and Operations Management)
七、訪問控制(Access Control)
八、系統(tǒng)開發(fā)與維護(Information Systems Acquisition,Development and Maintenance)
九、信息安全事件管理(Information security incident Management)
十、業(yè)務(wù)持續(xù)性管理(Business Continuity Management)
十一、符合性(Compliance)
信息安全管理體系建設(shè)方法
Phase 1 風險評估
Phase 2 安全管理體系設(shè)計
Phase 3 安全管理體系實施
Phase 4 安全管理體系運行監(jiān)控
Phase 5 安全管理體系持續(xù)改進
風險評估階段
資產(chǎn)評估
風險處置
控制措施
方案實施有形收益
企業(yè)一旦通過ISO27001認證,說明其信息安全管理水平已經(jīng)達到了國內(nèi)外的先進水平;
企業(yè)一旦通過ISO27001認證,說明其已經(jīng)擁有了持續(xù)改善組織信息安全管理的能力;
企業(yè)一旦通過ISO27001認證,信息系統(tǒng)將會得到更好的安全保護;
企業(yè)一旦通過ISO27001認證,將會增強合作者的信心和信任感;
企業(yè)一旦通過ISO27001認證,將會在公眾面前樹立良好的企業(yè)形象;
企業(yè)一旦通過ISO27001認證,會有利于其獲取國內(nèi)外的各種其他的信息安全類認證。