ISO27001 信息安全管理体系 企业认证 咨询
企亿嘉股份有限公司
中国 益阳
产品属性
图文详情
品牌推荐
认证种类
管理体系认证
所在地
全国
服务内容
认证 咨询
ISO27001信息安全管理体系
信息安全标准的主要要求
BS 7799分两部分出版:1、BS 7799-1:1999信息安全管理应用程序和2、BS 7799-2:1999信息安全管理系统的规范。它是用于组织实施信息安全管理的一项体制。有10个以文献形式体现各种控制主题,其范围从来自第三方合同的风险识别,报告各种可能的安全事故到密码管理系统和用户培训。这十个章节和它们的客观目标在BS 7799中第二部分中有详细描述,大致可总结为:信息安全方针——为信息安全提供管理方向和保障;
组织安全——建立组织内的管理体系以便安全管理;
资产归类和控制——维护组织资产的适当保护系统;
人员安全——减少人为造成的风险;
实物和环境安全——防止对关于IT服务的未经许可的介入,损伤和干扰服务;
通讯和操作管理——保证通讯和操作设备的正确和安全维护;
访问控制——控制对商业信息的访问;
系统开发和维护——保证安全建造进入安全系统;
商业连续性管理——防止商业活动中断及保护关键商业过程不受重大失误或灾难事故的影响;
遵守——避免任何违反法令、法规、合同约定及其他安全要求的行为。
总之,随着组织间的电子网络的增加,通过信息安全管理的参考文献记载可以看到信息安全管理明显的利益。它能够建立起网站和贸易伙伴之间的互相信任并为IT用户和服务提供商之间提供一个基础的设备管理。再加上信息安全威胁随信息爆炸时代逐渐升级,越来越多的组织已经意识到执行信息安全标准的益处。
实施ISO27001认证需准备的材料:
1)公司资质;
2)组织简介;
3)申请认证产品的生产、加工或服务工艺流程图;
4)临时场所、多场所需提供清单;
5)管理手册、程序文件及组织机构图;
6)服务器数量以及终端数量;
7)服务器数量以及终端数量;
8)适用性声明、资产列表;
9)保密协议、信息安全敏感区域的声明;
10)支持ISO27000信息安全管理体系的规程和控制措施、风险评估方法的描述、风险处置计划、组织为确保其信息安全过程的有效规范/运行和控制以及描述如何测量控制措施的有效性所需的形成文件的规程。
ISO体系咨询认证流程
第一阶段 体系诊断与策划:现有体系诊断→出具诊断报告→落实辅导工作计划;
第二阶段 体系设计与文件编写:管理体系设计→确定体系要素及实施程度→确定管理组织机构→成立贯彻标准领导小组→拟定服务过程流程图→标准理解与实施之培训→确定文件清单→程序文件编写→手册编写→指导书、表单编写与整合;
第三阶段 体系运行与完善:实施管理体系文件→内部审核员培训→制定内部审核计划→ 内部审核→管理评审→模拟审核→纠正与改进;
第四阶段 体系审核与获证:认证前检查与准备→文件审核及纠正→现场审核及纠正→通过认证获得证书。
