13274610375 / 0451-58578842
ISO27001是信息安全管理的国际标准,标准提供了从规划、实施、改进ISMS的完善的框架,为组织实施ISMS提供了最佳的实践指导。
嘉洋天智秉承“以风险为驱动,以预防为核心”管理理念帮助客户规划信息安全管理体系,从信息安全标准的14个管理领域入手,将114个控制点与客户管理流程有机结合,实现以预防为主的信息安全管理机制,降低信息安全风险和损失。
建立科学、合理、易于落地的管理体系ISO27001信息安全管理体系构建应采用科学的方法,即按照ISO27001的要求,采用过程方法,通过过程的控制来为结果提供一种可持续的保证。信息安全管理体系建设不是编制几个制度,它的目的是推动公司行动起来,发生变化,化,不断提升其安全管控能力。要便安全管理体系有效
发挥作用、起到实效,还必须:
全面化:要针对评估中发现的问题,与最佳实践相比较所存在的差距,应覆盖人员和组织、制度和流程、技术手段等所有要素,夏盖信息系统的整个生命周期,夏盖管理的整个过程。
系统化:管理体系应符合PDCA(规划、实施、检查、改进)思想,必须要有测量、反馈机制,能够进行内部监督、审计,形成正向的内部激励机制,不断进行改进和完善。
流程化:制度是有益的、必须的,但还必须贯穿部门间藩篱的、目标可控、易于落地的流程。流程使人员不需要关注过多的制度,只需按照流程工作即可,减轻了人员负担。
规范化:对于具体工作,必须给出明确的工作指导和表单,规范人员的操作行为。
融合化:安全管理不是一个独立的体系,应与现运维管理、内部控制等现有制度和流程相融合,借鉴Cobit,ITIL,CMMI,PMP/PRINCE2、隐私数据保护等管理思想或方法的长处
ISO27000系列共包括10个标准,当前已经发布和在研究的有6个,分别为:
1、ISO/IEC 27000《信息安全管理体系基础和词汇》;
2、ISO/IEC 27001:2013《信息安全管理体系要求》;
3、ISO/IEC 17799:2005《信息安全管理实用规则》(编号已经改为27002);
4、ISO/IEC 27003《信息安全管理体系实施指南》;
5、ISO/IEC 27004《信息安全管理测量》;
6、ISO/IEC 27005《信息安全风险管理》。
ISO27001信息安全管理体系的认证证书有效期是三年,期间每年要接受发证机构的监督审核(也称为:年检或年审),三年证书到期后,要接受认证机构的再认证(也称为复评或换证)。
颁发ISO27001信息安全管理体系证书的认证机构必需是经过CNCA国家认证监督委员会(认监委)认可的认证机构方可在国内进行审核发证,所有通过认证且合法的证书均可在CNCA的网站上进行查询。国外的认证机构如果没有在国内CNCA备案,即使认证机构得到了认可单位是UKAS或者ANAB等等的认可,也是不符合中国的法律法规的,视为违规操作,被发现将会被CNCA处罚并公示证书在国内无效。经CNCA认可的认证机构可以在CNCA网站上查询。