ISO 27001 目标
为了保」护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露▆,保证信息系统能够连续、可靠、正常地运ω行,使安全事件对业务造成的影响减到最小,确保组织业务运□ 行的连续性,所以需要建立一套信息安全管▽理体系.
ISO27001就是一个有关信息安全管理体系(ISMS)的国¤际标准
ISO27001的理念是基于风险评估的信息安全风险管理
ISO27001采用PDCA过程方法,全面、系统、持续地改进组织的信息安全管理
ISO27001可用于组织的信息安全管理体系建立和实施,保障组织的信息安全
ISO27001正式名▼称是:《ISO/IEC27001:2005信息安全技术-安全技术-信息安全管←理体系要求》
ISO 27001 认证过程
1、选择】受认可的认证机构 | 组织︼应该向认证机构提供必要的信息 |
2、预审(Pre-assessment) | 可选 |
3、Phase1:文档审核 | 复↓审风险评估文档、安全策略和适用√性声明;复审ISMS的其他文档 |
4、Phase2:现场审查 | ISMS的实施情况;风险管理决策的基础 |
5、维持认证 | 组织被授予证书后,审核组每年都会对ㄨ其ISMS符合性进行检查。证书三年有效,之后需要再◎次认证。组织必须向认证机构通报任何变化。 |
ISO27001的11个Domain
一、信息@安全方针(Security Policy)
二、组织安全(Organizing Information security)
三、资产分类与控制(Asset Management)
四、人员安全(Human Resource Security)
五、物理々及环境安全(Physical and Environmental Security)
六、通信与操作管理(Communications and Operations Management)
七、访问控制(Access Control)
八、系统开发与维护(Information Systems Acquisition,Development and Maintenance)
九、信息安全事件管理(Information security incident Management)
十、业务持续性管理(Business Continuity Management)
十一、符合性(Compliance)
信息安全管理体系建设方法
Phase 1 风险评估
Phase 2 安全管理体系设计
Phase 3 安全管理▃体系实施
Phase 4 安全管理体系运行监控
Phase 5 安全管理体系持续改进
风险㊣ 评估阶段
资产评估
风险处置
控制措施
方案实施有形收益
企业一旦→通过※ISO27001认证,说明其信息安全管理水平已经达到了国内外的先☉进水平;
企业一旦通过╱ISO27001认证,说明其已经拥有了持续改善组织信◥息安全管理的能力;
企业一旦通过ISO27001认证,信息系统将会得到更好的安全保护;
企业一旦通过ISO27001认证,将会增强合作者的信▅心和信任感;
企业一旦通过ISO27001认证,将会在公众面前树立良好的企业形象;
企业一旦通过ISO27001认证,会有利于其获取国内外的各种其他的信息安全类认』证。