ISO 27001 目标
为了保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性,所以需要建立一套信息安全管理体系.
ISO27001就是一个有关信息安全管理体系(ISMS)的国际标准
ISO27001的理念是基于风险评估的信息安全风险管理
ISO27001采用PDCA过程方法,全面、系统、持续地改进组织的信息安全管理
ISO27001可用于组织的信息安全管理体系建立和实施,保障组织的信息安全
ISO27001正式名称是:《ISO/IEC27001:2005信息安全技术-安全技术-信息安全管理体系要求》
ISO 27001 认证过程
1、选择受认可的认证机构 | 组织应该向认证机构提供必要的信息 |
2、预审(Pre-assessment) | 可选 |
3、Phase1:文档审核 | 复审风险评估文档、安全策略和适用性声明;复审ISMS的其他文档 |
4、Phase2:现场审查 | ISMS的实施情况;风险管理决策的基础 |
5、维持认证 | 组织被授予证书后,审核组每年都会对其ISMS符合性进行检查。证书三年有效,之后需要再次认证。组织必须向认证机构通报任何变化。 |
ISO27001的11个Domain
一、信息安全方针(Security Policy)
二、组织安全(Organizing Information security)
三、资产分类与控制(Asset Management)
四、人员安全(Human Resource Security)
五、物理及环境安全(Physical and Environmental Security)
六、通信与操作管理(Communications and Operations Management)
七、访问控制(Access Control)
八、系统开发与维护(Information Systems Acquisition,Development and Maintenance)
九、信息安全事件管理(Information security incident Management)
十、业务持续性管理(Business Continuity Management)
十一、符合性(Compliance)
信息安全管理体系建设方法
Phase 1 风险评估
Phase 2 安全管理体系设计
Phase 3 安全管理体系实施
Phase 4 安全管理体系运行监控
Phase 5 安全管理体系持续改进
风险评估阶段
资产评估
风险处置
控制措施
方案实施有形收益
企业一旦通过ISO27001认证,说明其信息安全管理水平已经达到了国内外的先进水平;
企业一旦通过ISO27001认证,说明其已经拥有了持续改善组织信息安全管理的能力;
企业一旦通过ISO27001认证,信息系统将会得到更好的安全保护;
企业一旦通过ISO27001认证,将会增强合作者的信心和信任感;
企业一旦通过ISO27001认证,将会在公众面前树立良好的企业形象;
企业一旦通过ISO27001认证,会有利于其获取国内外的各种其他的信息安全类认证。