ISO27000资讯安全管理系统
发布人: 发布时间:2016-10-25 点击:1035次
1.认证简介:
资讯安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。
1999年BSI重新修改了该标准。BS7799分为两个部分:BS7799-1,资讯安全管理实施规则BS7799-2,资讯安全管理体系规范。
第一部分对资讯安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和档化资讯安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控製的要求。
2.ISO27000的效益:
1、通过定义、评估和控製风险,确保经营的持续性和能力。
2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任。
3、通过遵守国际标准提高企业竞争能力,提升企业形象。
4、明确定义所有组织的内部和外部的资讯介麵目标:谨防资料的误用和丢失。
5、建立安全工具使用方针。
6、谨防技术诀窍的丢失。
7、在组织内部增强安全意识。
8、可作为公共会计审计的证据。
3.资讯安全和法律法规:
业内人士对ISO27001认证趋之若鹜,这其中有两个关键性的驱动因素:一是日益严峻的资讯安全威胁,二是不断增长的资讯保护相关法规的需求。
本质上说,资讯安全威胁是全球化的。一般来说,它将毫无差别地辐射到每一个拥有、使用电子资讯的机构和个人。这种威胁在Internet的环境中自动生成并释放。更严重的问题是,其他各种形式的危险也在整日威胁资料安全,包括从外部攻击行为到内部破坏、偷盗等一系列危险。
过去的十年内,围绕资讯和资料安全问题建立起来的法律法规体系从无到有、不断壮大,其中包括专门针对个人资料保护问题的,也有针对企业财政、运营和风险管理体系建立的法规保障问题的。
一套正式规范的资讯安全管理体系应当可以提供最佳实践部署指导。目前,建立这样的管理体系逐渐成为诸多合规专案的必要条件,与此同时,针对该管理体系的认证逐渐成为各种组织(包括政府部门)的热门需求,这份认证可以为他们带来重要的潜在商业合同。
4.认证要求:
ISO27001标准是为了与其他管理标准,比如ISO9000和ISO14001等相互相容而设计的,这一标准中的编号系统和档管理需求的设计初衷,就是为了提供良好的相容性,使得组织可以建立起这样一套管理体系:能够在最大程度上融入这个组织正在使用的其他任何管理体系。
一般来说,组织通常会使用为其ISO9000认证或者其他管理体系认证提供认证服务的机构,来提供ISO27001认证服务。正是因为这个缘故,在ISMS体系建立的过程中,品质管製的经验举足轻重。
但是有一点需要注意,一个组织如果没有事先拥有并使用任何形式的管理体系,并不意味著该组织不能进行ISO27001认证。这种情况下,该组织就应当从经济利益考虑,选择一个合适的管理体系的认证机构来提供认证服务。
认证机构必须得到一个国家鉴定机构的委託授权,才能为认证组织提供认证服务,并发放认证证书。大多数国家都有自己的国家鉴定机构(比如:英国UKAS),任何获得该机构授权进行ISMS认证的机构均记录在案。
5.认证审核费用及时间:
除了组织自身投入之外,ISO27001 认证审核费用主要体现在聘请第三方认证机构及审核员方面了。
在组织向认证机构提出申请之后,认证机构会初步瞭解组织现状,确定审核范围,提出审核报价。认证机构的报价通常是根据其投入的时间和人员来确定的,决定因素包括:
1、受审核组织的员工数量;
2、纳入审核范围的信息量;
3、场所数量;
4、组织与外界的关联;
5、组织 IT 的複杂性;
6、组织类型和业务性质等。
除了费用问题,认证审核的週期通常也是组织比较关心的。
一般来说,从组织启动 ISMS建设专案开始,到最终通过审核,至少要有半年时间(不包括获取证书的时间)。对于很多因为外部驱动力而决心实施 ISO27001 认证专案的组织来说,提早进行规划是必要的。
资讯安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。
1999年BSI重新修改了该标准。BS7799分为两个部分:BS7799-1,资讯安全管理实施规则BS7799-2,资讯安全管理体系规范。
第一部分对资讯安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和档化资讯安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控製的要求。
2.ISO27000的效益:
1、通过定义、评估和控製风险,确保经营的持续性和能力。
2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任。
3、通过遵守国际标准提高企业竞争能力,提升企业形象。
4、明确定义所有组织的内部和外部的资讯介麵目标:谨防资料的误用和丢失。
5、建立安全工具使用方针。
6、谨防技术诀窍的丢失。
7、在组织内部增强安全意识。
8、可作为公共会计审计的证据。
3.资讯安全和法律法规:
业内人士对ISO27001认证趋之若鹜,这其中有两个关键性的驱动因素:一是日益严峻的资讯安全威胁,二是不断增长的资讯保护相关法规的需求。
本质上说,资讯安全威胁是全球化的。一般来说,它将毫无差别地辐射到每一个拥有、使用电子资讯的机构和个人。这种威胁在Internet的环境中自动生成并释放。更严重的问题是,其他各种形式的危险也在整日威胁资料安全,包括从外部攻击行为到内部破坏、偷盗等一系列危险。
过去的十年内,围绕资讯和资料安全问题建立起来的法律法规体系从无到有、不断壮大,其中包括专门针对个人资料保护问题的,也有针对企业财政、运营和风险管理体系建立的法规保障问题的。
一套正式规范的资讯安全管理体系应当可以提供最佳实践部署指导。目前,建立这样的管理体系逐渐成为诸多合规专案的必要条件,与此同时,针对该管理体系的认证逐渐成为各种组织(包括政府部门)的热门需求,这份认证可以为他们带来重要的潜在商业合同。
4.认证要求:
ISO27001标准是为了与其他管理标准,比如ISO9000和ISO14001等相互相容而设计的,这一标准中的编号系统和档管理需求的设计初衷,就是为了提供良好的相容性,使得组织可以建立起这样一套管理体系:能够在最大程度上融入这个组织正在使用的其他任何管理体系。
一般来说,组织通常会使用为其ISO9000认证或者其他管理体系认证提供认证服务的机构,来提供ISO27001认证服务。正是因为这个缘故,在ISMS体系建立的过程中,品质管製的经验举足轻重。
但是有一点需要注意,一个组织如果没有事先拥有并使用任何形式的管理体系,并不意味著该组织不能进行ISO27001认证。这种情况下,该组织就应当从经济利益考虑,选择一个合适的管理体系的认证机构来提供认证服务。
认证机构必须得到一个国家鉴定机构的委託授权,才能为认证组织提供认证服务,并发放认证证书。大多数国家都有自己的国家鉴定机构(比如:英国UKAS),任何获得该机构授权进行ISMS认证的机构均记录在案。
5.认证审核费用及时间:
除了组织自身投入之外,ISO27001 认证审核费用主要体现在聘请第三方认证机构及审核员方面了。
在组织向认证机构提出申请之后,认证机构会初步瞭解组织现状,确定审核范围,提出审核报价。认证机构的报价通常是根据其投入的时间和人员来确定的,决定因素包括:
1、受审核组织的员工数量;
2、纳入审核范围的信息量;
3、场所数量;
4、组织与外界的关联;
5、组织 IT 的複杂性;
6、组织类型和业务性质等。
除了费用问题,认证审核的週期通常也是组织比较关心的。
一般来说,从组织启动 ISMS建设专案开始,到最终通过审核,至少要有半年时间(不包括获取证书的时间)。对于很多因为外部驱动力而决心实施 ISO27001 认证专案的组织来说,提早进行规划是必要的。