信息安全风险管理是指通过建立有效的机制,实现对信息安全风险的识别、计量、评估、预警和控制,确保信息系统高效、可靠、安全、平稳、持续运行,规避因为信息技术应用而引起的各种风险。一般包括风险评估、风险处理、风险接受、风险通报、风险监控、风险回顾。 应用系统中的业务流程可能存在因流程控制缺陷而引起的操作风险。此类风险与信息技术应用的关系密切,并且极有可能因为自动化、网络化的实现方式而被放大,因此必须将其纳入全面信息安全风险管理的范围: 应用系统中业务流程操作风险本质上仍属于业务操作…
信息安全风险是指自然(环境)因素或者人为因素利用信息系统漏洞(技术漏洞)、管理(或流程)缺陷,对企业造成危害的潜在事件。包括信息系统的开发、部署、运行(使用)、监控、维护及退出等过程中由于IT操作流程缺陷、系统的业务流程控制缺陷、信息系统脆弱性、操作人员无意/蓄意失误、外部事件等因素直接影响信息系统的安全、可靠、平稳运行,并可能导致业务运营中断乃至欺诈事件等业务操作风险,并间接导致信用、市场、法律、声誉等企业。 信息系统开发时的业务需求分析风险、信息系统项目管理风险等等则不属…
企业内部面临信息安全问题的时候,目前虽然不是以前上某种安全产品就解决一切问题的那种一劳永逸的想法,但是大多数的企业都希望尽可能多解决一些问题,这种心情是可以理解的。 ISMS建设时,都会确定一个明确的实施范围,比如IT部或研发部或财务部,那么在实施ISMS的过程当中,范围之外的部门或组织一般都不会深入涉及,再次实施的重点明确在已定的范围之内,在咨询顾问的帮助下,建立合理的信息安全组织框架,培养出能够胜任安全管理体系运作的相关人员,比如掌握了风险评估方法的人员,内部审计人员等等…
ISO27001证书一般都是3年有效期,3年过后,必须历经一次全面审核,由认证公司重新颁发证书。在认证注册资格后,在三年有效期内,将接受乙方3次定期监督审核及必要的不定期审查。其中,获证之日起6个月安排首次监督审核,其后监督审核间隔不得超过12个月,有异常情况时酌情增加监督审核的频次。因此,企业必须仍然按照标准PDCA的要求,不断发现或回顾信息安全风险状况。
ISO27001认证实施不同咨询公司的做法也不一样,但是基本上会按照标准里的内容,从ISMS(信息安全管理体系)规划、ISMS实施与运维、ISMS监视与回顾、ISMS改进与提高四个阶段。
认证范围的选择将影响达到认证要求的难易度以及成本。反过来,难易度和成本是选择认证范围的重要参考。难易度一般由企业自身当前的信息安全管理水平决定,而成本则与企业的预算相关。在考虑难易度和成本的基础上,企业一般会把核心业务部门以及支撑核心业务的IT部门和人力资源部门纳入认证范围。认证范围的描述一般使用业务活动范围、地域场所、信息资产及技术来表达。到目前为止,像比较著名的认证机构比如BSI,DNV等在国内颁发的证书一般只使用业务活动和地域场所来描述认证的管理体系范围。
企业开展ISO27001认证时,一般都是由IT部门牵头,业务部门配合参入。但是对于规范较小的公司,IT部门的力量非常有限,往往是由质量管理部门牵头主导项目,因为这些公司一般都有实施过管理体系认证(ISO9001或者CMMI)或者项目的经验,信息安全管理体系同质量管理体系具有较大的相似性。 前期咨询公司的参入帮助引导主导部门甚至企业领导正确认识信息安全,信息安全管理以及ISO27001认证,就本项目对信息安全的理解和目标达成一致。这非常关键,因为这关系到项目实施过程顺利与否,以…
强化意识,转变观念 ISO27001认证是一个组织证明其信息安全水平和能力符合国际标准要求的有效手段,它将帮助组织节约信息安全成本; 信息安全风险管理的目的是保障企业业务赖以运行IT系统的持续、稳定、安全运行,保障企业业务的连续开展,而不是为企业业务的开展横加了一道枷锁,强调安全保障以业务为中心; 信息安全工作应该是以IT部门为主导,全员参与的全公司范围内的活动,强调人人有责; 信息安全管理应该遵循风险管理的思想,强调事先防范,事中控制以及事后总结的工作思路,而不是“问题驱动…
ISO27001是国际标准,全名是IEC/ISO27001信息安全管理体系规范,他是整个ISO27000标准系列当中的一个标准,该系列标准中包含很多其他标准;另外一个大家常说的标准ISO1779:2005-信息安全实施细则也是与信息安全管理相关的,这个标准当前已经改名为ISO27002:2008了。无论是ISO27001还是ISO27002,都是ISMS标准系列(ISMS Family of Standards)之一,ISMS标准系列如下图所示: 大家常说的ISO27001认…
服务介绍 ISO27001 信息安全管理体系认证是建立信息安全管理体系(ISMS)的一套需求规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准。ISO27001 信息安全管理体系认证可有效保护信息资源,保护信息化进程健康、有序、可持续发展。 信息安全管理体系ISMS(Information SecurITry Management Systems)是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是基…
鲁公网安备 37130202372255号鲁ICP备2021025955号-2