信息安全
信息化的浪潮席卷全球,一种全新的先进技术之出现,把人类的生活引导至知识经济的数字社会。信息技术的应用,摧化人们的工作方式、生活环境与思维观念的具大变化,大步地推动人类社会的发展及文明的进步,把人类带入新时代。然而 ,人们在享受数字社会带来的巨大利益与方便的同时,也面临着信息安全严峻考验。
在今日高度竞争的商业环境下 ,组织/企业的竞争核心往往取决于信息内容及信息技术。北京治信方程凭借各产业丰富的信息安全辅导实务经验及国内外的安全服务团队/合作伙伴,提供企业整体的客制化信息安全咨询顾问服务,以协助组织/企业有效运用并且妥善保护组织/企业核心信息, 使您的组织/企业能安然处之在信息时代。
信息安全管理体系国际标准 ISO27000 标准介绍
• ISO/IEC 27000 Fundamentals and vocabulary(信息安全管理体系基础与术语)
• ISO/IEC 27001 ISMS-Requirements(revised BS 7799 Part 2:2005)-Published 15th Oct 2005(信息安全管理体系要求事项,认证要求)
• ISO/IEC 27002 Code of practice for information security management as from April 2007-currently ISO/IEC 17799:2005,
published 15th June 2005(信息安全管理最佳实践)
• ISO/IEC 27003 ISMS implementation guidance(under development)(信息安全管理体系实施指南)
• ISO/IEC 27004 Information security management measurement(under development)(信息安全管理体系测量)
• ISO/IEC 27005 Information security risk management(based on and incorporating ISO/IEC 13335 MICTS Part 2)(under
development)(信息安全风险管理)
• ISO/IEC 27006 Requirements for bodies providing audit and certification of information security management systems-
Published 15th February 2007(信息安全管理体系认证机构认可要求事项)
• ISO/IEC 27007 Guidelines for information security management systems auditing (under development)(信息安全管理体系审核指南)
ISO/IEC27001:2005 标准的架构:
ISO27001共分成11个主题,39个控制目标,133个控制措施。
十一个主题包括:
一、Security Policy(安全政策)
二、Organization of information security(组织信息安全)
三、Asset management(资产管理)
四、Human resources security(人力资源安全)
五、Physical and environmental security(实体与环境安全)
六、Communications and operations management(通信和操作管理)
七、Access control(访问控制)
八、Information systems acquisition,development and maintenance(信息系统获取、开发与维护)
九、Information security incident management(信息安全事故管理)
十、Business continuity management(业务持续性管理)
十一、Compliance(符合性)
信息安全管理体系建置方案
ISO27001所规范的『计划-执行-检查-行动』(PDCA,Plan-Do-Check-Act)发展模式及流程来建置信息安全管理体系(ISMS),本公司将遵循此精神将咨询顾问分成四大阶段:
一项目启动
1、现况了解
2、进行差异性分析
3、提供ISMS推动相关计划
4、ISMS 第一阶段培训
二 风险评估与管理
1、资产清点
2、风险评估与报告产出
3、风险处理与管理审查
三 ISMS文件修订与实施
1、四级文件制定及实施
2、ISMS第二阶段培训
3、营运持续演练
4、内部审核与管理审查
四 预评与认证
1、ISMS预评及协助不符合项改善
2、ISMS正式认证(分为第一阶段文审及第二阶段现场审核)
3、协助认证各阶段不符事项进行改善
4、取得建议发证报告及ISO27001证书
5、协助拟定ISMS 维运计划
实施ISO27001效益
一、ISO27001 证书的获得,可以客户表明,组织/企业遵循了所有适用的法律法规。从而保护企业和相关方的信息交换、知识产权、商业秘密等增加市场的竞争优势。
二、信息安全管理体系的建立可以和外部团体如合作伙伴及客户与内部团体如股东说明组织/企业为保护信息所做的努力,使其对组织/企业的信心加强,并有助于在同行业中的竞争优势,提升客户满意度及形象。
三、提升员工信息安全积极态度,规范信息安全制度,降低人为所造成的信息安全事故机率。
四、提升公司运营目标及达到业务永续经营要求目标。
五、满足组织/企业对信息安全的要求及期望。 |
