资质认证一体化服务专家——远望咨询集团

ISO2700信息安全管理体系

发布时间:2017-11-27 10:06

标准发展 

     目前,在信息安全管理体系方面,ISO27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织,如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。  

      2008年6月,ISO27001同等转换成国内标准GB/T22080-2008,并在2008年11月1日正式实施。  

      经过多年的发展,信息安全管理体系国际标准已经出版了一系列的标准,其中ISO/IEC27001是可用于认证的标准,其他标准可为实施信息安全管理的组织提供实施的指南。 

      2013年10月,为适应信息安全管理的发展趋势,ISO组织发布了ISO/IEC 27001:2013-信息安全管理体系标准,新版标准相对旧版标准作了较大修订,为组织加强信息安全管理提供的指导。 

ISO27001标准内容简介 

      ISO27001:2013标准包括14控制领域、35个控制目标和114项控制措施,为组织提供全方位的信息安全保障,主要的14个控制域包括:1、信息安全方针和策略2、信息安全组织;3、人力资源安全;4、资产管理;5、访问控制;6、密码;7、物理和环境安全;8、操作安全;9、通信安全;10、系统获取、开发和维护;11供应商关系;12、信息安全事件管理;13、业务连续性管理的信息安全方面;14、符合性。  

标准特点 

ISO27001:2013版新标准特点:  

      1)采用新结构 

        在ISO27001:2013新版当中采用ISO导则83做结构性要求,这个结构未来在ISO其他标准改版中会普遍采用,将未企业管理体系融合提供了统一的体系架构,管理体系融合将更加便捷。新结构保持与PDCA方法的对应关系。  

     2)控制更精简  

        ISO27001:2013中将旧版133个控制项缩减到113个,合并了类型的控制措施(如变更管理),新增的控制项目比如对智能型装置的管理、强化ICT供应链的委外管理、以及系统开发项目管理的信息安全要求等,以反映目前信息安全的发展趋势。ISO27001:2013将通信与操作管理领域拆分为通信安全与操作安全两个领域,比旧版标准更清晰的反应了实际的需求,与企业的信息系统的管理实践结合更紧密。ISO27001:2013将旧版业务连续性管理更新为信息安全方面的业务连续性管理,表述更准确。  

     3)提供更多参考  

        此次ISO也新增许多指引供企业参考,组织可以通过不同的方面以及风险进行深度的强化,通过ISO 27001认证只是基本要求。目前ISO 27000系列指引编号已超过44号(001-044),例如金融服务、数字鉴识、供应链管理、软件开发测试等,企业组织可参考这些指引做升级的要求。 


实施意义

1、有一套“量体裁衣”的信息安全管理控制措施和保护信息资产的制度框架

2、形成了高层管理人员与技术负责人进行信息安全沟通的共同语言

3、使组织将IT策略和组织发展方向统一起来,确保与IT相关的风险受到适当的控制

4、通过方针、惯例、程序、组织结构和软件功能来确定控制方式并实施控制,持续提高组织信息安全管理水平

5、降低信息安全对持续发展造成的风险,利用信息技术为组织创造新的战略竞争机遇

6、根据控制费用与风险平衡的原则合理选择安全控制方式

7、使信息风险的发生概率和结果降到可接受水平,保持组织业务运作的持续性


信息安全管理体系认证申请与受理条件及流程


申请条件

1、具有法律地位

2、从业条件中,有行政许可要求的,应取得相应资格并在有效期内

3、产品及过程符合国家相关法律法规和标准要求

4、建立了文件化的管理体系

5、管理体系运行三个月以上

6、本年度无重大与以申请认证流域相关的责任事故

至少进行一次管理体系内部审核与管理评审,且内审覆盖申请范围所有产品、过程、场所和认证标准要求


认证流程图










证书样板













扫一扫在手机上阅读本文章

© 资质认证一体化服务专家——远望咨询集团    技术支持:
秒速赛车免费计划 广东11选5 极速3d 极速3d 极速3d 手机时时彩网站 广东快乐十分开奖记录 秒速赛车精准计划 广东快乐十分开奖记录 广东11选5