• <xmp id="mg0as">
  • <s id="mg0as"><s id="mg0as"></s></s>
  • <td id="mg0as"><input id="mg0as"></input></td>
  • <input id="mg0as"></input><code id="mg0as"><label id="mg0as"></label></code>
  • <xmp id="mg0as">
    <rt id="mg0as"></rt>
  • <label id="mg0as"></label>

    歡迎光臨本網站!     ISO認證·服務認證·產品認證·信用評級·檢驗檢測·現場咨詢輔導一站式服務

    主營項目

    產品分類

    聯系我們

    秉晟企管

    聯系人:陳經理

    電話:13156529606(微信同號)

    網址:www.kreuzroither.com

    ISO27001信息安全管理體系

    您的當前位置: 首 頁 >> 新聞動態 >> ISO認證

    ISO27001信息安全管理體系

    發布日期:2018-11-27 作者: 點擊:

    信息安全管理要求ISO/IEC27001的前身為英國的BS7799標準,該標準由英國標準協會(BSI)于1995年2月提出,并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分: BS7799-1,信息安全管理實施規則 BS7799-2,信息安全管理體系規范。 第一部分對信息安全管理給出建議,供負責在其組織啟動、實施或維護安全的人員使用;第二部分說明了建立、實施和文件化信息安全管理體系(ISMS)的要求,規定了根據獨立組織的需要應實施安全控制的要求。


           簡介


           標準的起源和發展


           信息安全管理實用規則ISO/IEC27001的前身為英國的BS7799標準,該標準由英國標準協會(BSI)于1995年2月提出,并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分:


           BS7799-1,信息安全管理實施規則。


           BS7799-2,信息安全管理體系規范。


           第一部分對信息安全管理給出建議,供負責在其組織啟動、實施或維護安全的人員使用;第二部分說明了建立、實施和文件化信息安全管理體系(ISMS)的要求,規定了根據獨立組織的需要應實施安全控制的要求。


           起源


           隨著在世界范圍內,信息化水平的不斷發展,信息安全逐漸成為人們關注的焦點,世界范圍內的各個機構、組織、個人都在探尋如何保障信息安全的問題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關信息安全的本國標準,國際標準化組織(ISO)也發布了ISO17799、ISO13335、ISO15408等與信息安全相關的國際標準及技術報告。目前,在信息安全管理方面,英國標準ISO27000:2005已經成為世界上應用最廣泛與典型的信息安全管理標準,它是在BSI/DISC的BDD/2信息安全管理委員會指導下制定完成。


           ISO27001標準于1993年由英國貿易工業部立項,于1995年英國首次出版BS7799-1:1995《信息安全管理實施細則》,它提供了一套綜合的、由信息安全最佳慣例組成的實施規則,其目的是作為確定工商業信息系統在大多數情況所需控制范圍的唯一參考基準,并且適用于大、中、小組織。


           1998年英國公布標準的第二部分《信息安全管理體系規范》,它規定信息安全管理體系要求與信息安全控制要求,它是一個組織的全面或部分信息安全管理體系評估的基礎,它可以作為一個正式認證方案的根據。BS7799-1與BS7799-2經過修訂于1999年重新予以發布,1999版考慮了信息處理技術,尤其是在網絡和通信領域應用的近期發展,同時還非常強調了商務涉及的信息安全及信息安全的責任。


           2000年12月,BS7799-1:1999《信息安全管理實施細則》通過了國際標準化組織ISO的認可,正式成為國際標準-----ISO/IEC17799:2000《信息技術-信息安全管理實施細則》。2002年9月5日,BS7799-2:2002草案經過廣泛的討論之后,終于發布成為正式標準,同時BS7799-2:1999被廢止。2004年9月5日,BS 7799-2:2002正式發布。


    2005年,BS 7799-2:2002終于被ISO組織所采納,于同年10月推出ISO/IEC 27001:2005。


           2005年6月,ISO/IEC 17799:2000經過改版,形成了新的ISO/IEC 17799:2005,新版本較老版本無論是組織編排還是內容完整性上都有了很大增強和提升。ISO/IEC 17799:2005已更新并在2007年7月1日正式發布為ISO/IEC 27002:2005,這次更新只是在標準上的號碼,內容并沒有改變。


           現在,ISO27000:2005標準已得到了很多國家的認可,是國際上具有代表性的信息安全管理體系標準。目前除英國之外,還有荷蘭、丹麥、澳大利亞、巴西等國已同意使用該標準;日本、瑞士、盧森堡等國也表示對ISO27000:2005標準感興趣,我國的臺灣、香港也在推廣該標準。許多國家的政府機構、銀行、證券、保險公司、電信運營商、網絡公司及許多跨國公司已采用了此標準對自己的信息安全進行系統的管理。截至2002年9月,全球共有142家各類組織通過了ISO27000:2005信息安全管理體系認證。


           發展


           2000年,國際標準化組織(ISO)在BS7799-1的基礎上制定通過了ISO 17799標準。BS7799-2在2002年也由BSI進行了重新的修訂。ISO組織在2005年對ISO 17799再次修訂,BS7799-2也于2005年被采用為ISO27001:2005。


           ISO27001認證好處


           信息安全管理體系標準(ISO27001)可有效保護信息資源,保護信息化進程健康、有序、可持續發展。ISO27001是信息安全領域的管理體系標準,類似于質量管理體系認證的ISO9000標準。當您的組織通過了ISO27001的認證,就相當于通過ISO9000的質量認證一般,表示您的組織信息安全管理已建立了一套科學有效的管理體系作為保障。根據 ISO27001 對您的信息安全管理體系進行認證,可以帶來以下幾個好處:


           引入信息安全管理體系就可以協調各個方面信息管理,從而使管理更為有效。保證信息安全不是僅有一個防火墻,或找一個24小時提供信息安全服務的公司就可以達到的。它需要全面的綜合管理。


           通過進行ISO27001信息安全管理體系認證,可以增進組織間電子商務往來的信用度,能夠建立起網站和貿易伙伴之間的互相信任,隨著組織間的電子交流的增加通過信息安全管理的記錄可以看到信息安全管理明顯的利益,并為廣大用戶和服務提供商提供一個基礎的設備管理。同時,把組織的干擾因素降到最小,創造更大收益。


           通過認證能保證和證明組織所有的部門對信息安全的承諾。


           通過認證可改善全體的業績、消除不信任感。


           獲得國際認可的機構的認證證書,可得到國際上的承認,拓展您的業務。


           建立信息安全管理體系能降低這種風險,通過第三方的認證能增強投資者及其他利益相關方的投資信心。


           組織按照ISO27001標準建立信息安全管理體系,會有一定的投入,但是若能通過認證機關的審核,獲得認證,將會獲得有價值的回報。企業通過認證將可以向其客戶、競爭對手、供應商、員工和投資方展示其在同行內的領導地位;定期的監督審核將確保組織的信息系統不斷地被監督和改善,并以此作為增強信息安全性的依據,信任、信用及信心,使客戶及利益相關方感受到組織對信息安全的承諾。


           通過認證能夠向政府及行業主管部門證明組織對相關法律法規的符合性。


           新版修訂


           自2005年國際標準化組織(簡稱:ISO)將BS 7799轉化為ISO 27001:2005發布以來,此標準在國際上獲得了空前的認可,相當數量的組織采納并進行了信息安全管理體系的認證, 至2011年底,國際上頒發的ISO 27001認證證書總數約為15625張(其中,BSI的市場占有率達約為45.65%)。在我國,自從2008年將ISO 27001:2005轉化為國家標準GB/T 22080:2008以來,信息安全管理體系認證在國內進一步獲得了全面推廣,至2011年底,國內頒發認證證書數量是1107張。越來越多的行業和組織認識到信息安全的重要性,并把它作為基礎管理工作之一開展起來。


           然而過去的幾年中,IT領域和通信行業發生了非常大的變革,出現了全面的業務和技術的融合。移動互聯網蓬勃興起、智能手機的廣泛采用、云計算技術的風起云涌,帶來了全新的網絡威脅、數據泄漏和欺詐的風險。面對這樣的變化和趨勢,使得信息安全管理體系標準的更新也變得日益重要。


           ISO對標準的更新,一般是以三年為一個周期,但因為ISO 27001:2005標準發布后的巨大成功,以及ICT行業的飛躍發展,使得這個標準的更新變得非常謹慎,至今已有7年。從ISO組織發布的最新信息可以看到,ISO 27001標準的更新籌備實際上已經在2008年開始,任命了工作組(JTC 1/SC 27 WG 1);2009年正式啟動更新。目前,處于該標準草案(Committee Draft)正在編寫委員會討論層面(30.20:2012-06-20),預計新版發布時間會在 2013-10-19,那時我們就可以一睹它的全新面貌了。


           從ISO 27001標準新版更新的一些說明材料中,可以看出這次ISO 27001標準改版將會具有以下幾個特征:


           采用ISO導則83ISO導則83,規范了今后ISO管理體系認證標準的基本框架;采用導則83頒布的第一個標準是今年5月發布的業務連續管理體系標準——ISO 22301::2012。


    導則83對今后的標準提出了新的框架要求,如下圖示,標注了ISO27001新版與2005版結構的對比和差異:


           明顯的改變有如下幾點:


           標準第4-7章,說明管理體系的一般要求,包括: 組織的情境、領導力、策劃和支持;標準第8章,描述ISMS實施要求,包括信息安全風險評估和處置;標準第9章,描述監視,測量和評審活動的要求;標準第10章,描述改善活動的要求;其中,取消了預防措施。信息安全風險管理與ISO31000風險管理保持一致新版的ISO27001標準中信息安全風險管理要求與ISO31000:2009(Risk management——Principles and guidelines)保持一致,并遵從其中的定義。


           在新版標準中明確了以下要求:


           信息安全風險評估:組織應確定如何確定其信息安全風險評估和處置過程的可靠性。 信息安全風險處理:適用時,組織應調整信息安全風險評估和處置過程,以及采用的方法,以改善過程的可靠性。保留附錄A控制措施與控制目標新版ISO27001依然會保留SOA和附錄A控制目標、控制措施的架構;因此,毫無疑問,ISO27001的新版修訂一定會與ISO27002的修訂同步進行。


           事實上,關于控制措施和控制目標的修訂,也是應對新的變化的信息安全威脅和風險必須的選擇;這部分的更新,在修訂項目中,接受了大量的修改建議,爭論也相當大,目前還沒有最后的結論。


           持續發展27系列支持性標準ISO 27001從誕生第一天開始就不是孤立的,為了支持信息安全管理體系標準,ISO27系列發布了一系列普遍適用和行業適用的參考標準。如下圖:


    截止目前,一些支持性標準目前的狀態如下表:


    標準名稱狀態


    ISO 27000Overview and vocabularyDIS


    ISO 27001RequirementsCD


    ISO 27002Code of practice for information security managementWD


           古希臘哲學家赫拉克利特因其作為辯證法的奠基人聞名于世,他曾經寫道“一切皆流,無物常住”,過去幾年中,國際上幾乎所有行業和組織面臨的信息安全風險的局勢無不體現了赫氏的這一學說。變化和發展是永恒的,信息安全風險總是處在持續演進中,攻擊者的手段依然會層出不窮。因此信息安全管理的實踐和標準都在不斷發展,我們唯一要做的就是保持警惕,隨時準備抵御風險。


           認證機構


           頒發ISO27001信息安全管理體系證書的認證機構必需是經過CNCA國家認證監督委員會(認監委)授權的認證機構方可在國內進行審核發證,所有通過認證且合法的證書均可在CNCA的網站上進行查詢。國外的認證機構如果沒有在國內CNCA備案,即使認證機構得到了認可單位是UKAS或者ANAB等等的認可,也是不符合中國的法律法規的,視為違規操作,被發現將會被CNCA處罰并公示證書在國內無效。經CNCA授權的認證機構可以在CNCA網站上查詢。


           關于認證機構與認可機構


           認證,認證是指由認證機構證明產品、服務、管理體系符合相關技術規范、相關技術規范的強制性要求或者標準的合格評定活動。認證機構,是經國家認證認可監督管理委員會(CNCA)批準可以在中國境內合法開展管理體系認證和產品認證的專業機構。就是說取得此項認證資質的企業或單位才可以進行審核活動。比如BSI,DNV,北京新世紀認證有限公司,華夏認證中心有限公司等等,他們屬于認證機構。認證機構是經CNCA授權的,認可機構管理認證機構。


           認可,是正式表明合格評定機構具備實施特定合格評定工作能力的第三方證明。通俗地講,認可是指認可機構按照相關國際標準或國家標準,對從事認證、檢測和檢查等活動的合格評定機構實施評審,證實其滿足相關標準要求,進一步證明其具有從事認證、檢測和檢查等活動的技術能力和管理能力,并頒發認可證書。中國的認可機構是CNAS,英國的認可機構是UKAS,美國的認可機構是ANAB。


           獲得CNAS認可的認證機構名錄如下:中國質量認證中心,上海質量體系審核中心,北京賽西認證有限責任公司,廣州賽寶認證中心服務有限公司 ,北京新世紀認證有限公司,華夏認證中心有限公司,中國信息安全認證中心,上海挪華威認證有限公司


           注:一般說來,證書是由認證機構頒發,認證機構要得到認可機構的授權,認可機構要得到認監委(CNCA)的授權,因此在中國的認證最高管理單位是CNCA。但是有些認證機構經CNCA備案授權,并沒有獲得CNAS的認可,這樣在國內開展被授權的審核業務也是可以的。


           國際認證


           APM Group(APMG)代表英國商務部(OGC)在全球進行ISO27001 Foundation、PRINCE2、P3O-Portfolio,Program and Project Offices、 MSP、M_o_R和ITIL的資質認證工作。業務遍布全球,分別在英國、美國、荷蘭、丹麥、澳大利亞和中國設有分公司。APMG中國是英國APMG公司在中國的全資機構及唯一代表機構。


           主要內容


           標準的主要內容


           ISO/IEC17799-2000(BS7799-1)對信息安全管理給出建議,供負責在其組織啟動、實施或維護安全的人員使用。該標準為開發組織的安全標準和有效的安全管理做法提供公共基礎,并為組織之間的交往提供信任。


           標準指出“象其他重要業務資產一樣,信息也是一種資產”。它對一個組織具有價值,因此需要加以合適地保護。信息安全防止信息受到的各種威脅,以確保業務連續性,使業務受到損害的風險減至最小,使投資回報和業務機會最大。


           內容章節


           ISO/IEC17799-2000包含了127個安全控制措施來幫助組織識別在運做過程中對信息安全有影響的元素,組織可以根據適用的法律法規和章程加以選擇和使用,或者增加其他附加控制。國際標準化組織(ISO)在2005年對ISO 17799進行了修訂,修訂后的標準作為ISO 27000標準族的第一部分——ISO/IEC 27001,新標準去掉9點控制措施,新增17點控制措施,并重組部分控制措施而新增一章,重組部分控制措施,關聯性邏輯性更好,更適合應用;并修改了部分控制措施措辭。修改后的標準包括11個章節:


           1、安全策略。指定信息安全方針,為信息安全提供管理指引和支持,并定期評審。


           2、信息安全的組織。建立信息安全管理組織體系,在內部開展和控制信息安全的實施。


           3、資產管理。核查所有信息資產,做好信息分類,確保信息資產受到適當程度的保護。


           4、人力資源安全。確保所有員工,合同方和第三方了解信息安全威脅和相關事宜以及各自的責任,義務,以減少人為差錯,盜竊,欺詐或誤用設施的風險。


           5、物理和環境安全。定義安全區域,防止對辦公場所和信息的未授權訪問,破壞和干擾;保護設備的安全,防止信息資產的丟失,損壞或被盜,以及對企業業務的干擾;同時,還要做好一般控制,防止信息和信息處理設施的損壞和被盜。


           6、通信和操作管理。制定操作規程和職責,確保信息處理設施的正確和安全操作;建立系統規劃和驗收準則,將系統失效的風險降到最低;防范惡意代碼和移動代碼,保護軟件和信息的完整性;做好信息備份和網絡安全管理,確保信息在網絡中的安全,確保其支持性基礎設施得到保護;建立媒體處置和安全的規程,防止資產損壞和業務活動的中斷;防止信息和軟件在組織之間交換時丟失,修改或誤用。


           7、訪問控制。制定訪問控制策略,避免信息系統的非授權訪問,并讓用戶了解其職責和義務,包括網絡訪問控制,操作系統訪問控制,應用系統和信息訪問控制,監視系統訪問和使用,定期檢測未授權的活動;當使用移動辦公和遠程控制時,也要確保信息安全。


           8、系統采集、開發和維護。標示系統的安全要求,確保安全成為信息系統的內置部分,控制應用系統的安全,防止應用系統中用戶數據的丟失,被修改或誤用;通過加密手段保護信息的保密性,真實性和完整性;控制對系統文件的訪問,確保系統文檔,源程序代碼的安全;嚴格控制開發和支持過程,維護應用系統軟件和信息安全。


           9、信息安全事故管理。報告信息安全事件和弱點,及時采取糾正措施,確保使用持續有效的方法管理信息安全事故,并確保及時修復。


           10、業務連續性管理。目的是為減少業務活動的中斷,是關鍵業務過程免受主要故障或天災的影響,并確保及時恢復。


            11、符合性。信息系統的設計,操作,使用過程和管理要符合法律法規的要求,符合組織安全方針和標準,還要控制系統審計,使信息審核過程的效力最大化,干擾最小化。


           ISO27001的效益


           1、通過定義、評估和控制風險,確保經營的持續性和能力。


           2、減少由于合同違規行為以及直接觸犯法律法規要求所造成的責任。


           3、通過遵守國際標準提高企業競爭能力,提升企業形象。


           4、明確定義所有組織的內部和外部的信息接口目標:謹防數據的誤用和丟失。


           5、建立安全工具使用方針。


           6、謹防技術訣竅的丟失。


           7、在組織內部增強安全意識。


           8、可作為公共會計審計的證據。


    本文網址:http://www.kreuzroither.com/news/417.html

    關鍵詞:ISO認證,ISO認證公司,ISO認證流程

    最近瀏覽:



  • 在線客服
  • 聯系電話
    13156529606
  • 在線留言
  • 在線咨詢
  • <xmp id="mg0as">
  • <s id="mg0as"><s id="mg0as"></s></s>
  • <td id="mg0as"><input id="mg0as"></input></td>
  • <input id="mg0as"></input><code id="mg0as"><label id="mg0as"></label></code>
  • <xmp id="mg0as">
    <rt id="mg0as"></rt>
  • <label id="mg0as"></label>
    女同久久精品国产99国产精品_亚洲VA中文字幕无码_中文字幕久精品视频在线观看_国产又色又爽又黄在线观看视频