ISO 27001 目標(biāo)
為了保護(hù)信息資產(chǎn),使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露,保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行,使安全事件對(duì)業(yè)務(wù)造成的影響減到最小,確保組織業(yè)務(wù)運(yùn)行的連續(xù)性,所以需要建立一套信息安全管理體系.
ISO27001就是一個(gè)有關(guān)信息安全管理體系(ISMS)的國(guó)際標(biāo)準(zhǔn)
ISO27001的理念是基于風(fēng)險(xiǎn)評(píng)估的信息安全風(fēng)險(xiǎn)管理
ISO27001采用PDCA過(guò)程方法,全面、系統(tǒng)、持續(xù)地改進(jìn)組織的信息安全管理
ISO27001可用于組織的信息安全管理體系建立和實(shí)施,保障組織的信息安全
ISO27001正式名稱是:《ISO/IEC27001:2005信息安全技術(shù)-安全技術(shù)-信息安全管理體系要求》
ISO 27001 認(rèn)證過(guò)程
1、選擇受認(rèn)可的認(rèn)證機(jī)構(gòu) | 組織應(yīng)該向認(rèn)證機(jī)構(gòu)提供必要的信息 |
2、預(yù)審(Pre-assessment) | 可選 |
3、Phase1:文檔審核 | 復(fù)審風(fēng)險(xiǎn)評(píng)估文檔、安全策略和適用性聲明;復(fù)審ISMS的其他文檔 |
4、Phase2:現(xiàn)場(chǎng)審查 | ISMS的實(shí)施情況;風(fēng)險(xiǎn)管理決策的基礎(chǔ) |
5、維持認(rèn)證 | 組織被授予證書(shū)后,審核組每年都會(huì)對(duì)其ISMS符合性進(jìn)行檢查。證書(shū)三年有效,之后需要再次認(rèn)證。組織必須向認(rèn)證機(jī)構(gòu)通報(bào)任何變化。 |
ISO27001的11個(gè)Domain
一、信息安全方針(Security Policy)
二、組織安全(Organizing Information security)
三、資產(chǎn)分類與控制(Asset Management)
四、人員安全(Human Resource Security)
五、物理及環(huán)境安全(Physical and Environmental Security)
六、通信與操作管理(Communications and Operations Management)
七、訪問(wèn)控制(Access Control)
八、系統(tǒng)開(kāi)發(fā)與維護(hù)(Information Systems Acquisition,Development and Maintenance)
九、信息安全事件管理(Information security incident Management)
十、業(yè)務(wù)持續(xù)性管理(Business Continuity Management)
十一、符合性(Compliance)
信息安全管理體系建設(shè)方法
Phase 1 風(fēng)險(xiǎn)評(píng)估
Phase 2 安全管理體系設(shè)計(jì)
Phase 3 安全管理體系實(shí)施
Phase 4 安全管理體系運(yùn)行監(jiān)控
Phase 5 安全管理體系持續(xù)改進(jìn)
風(fēng)險(xiǎn)評(píng)估階段
資產(chǎn)評(píng)估
風(fēng)險(xiǎn)處置
控制措施
方案實(shí)施有形收益
企業(yè)一旦通過(guò)ISO27001認(rèn)證,說(shuō)明其信息安全管理水平已經(jīng)達(dá)到了國(guó)內(nèi)外的先進(jìn)水平;
企業(yè)一旦通過(guò)ISO27001認(rèn)證,說(shuō)明其已經(jīng)擁有了持續(xù)改善組織信息安全管理的能力;
企業(yè)一旦通過(guò)ISO27001認(rèn)證,信息系統(tǒng)將會(huì)得到更好的安全保護(hù);
企業(yè)一旦通過(guò)ISO27001認(rèn)證,將會(huì)增強(qiáng)合作者的信心和信任感;
企業(yè)一旦通過(guò)ISO27001認(rèn)證,將會(huì)在公眾面前樹(shù)立良好的企業(yè)形象;
企業(yè)一旦通過(guò)ISO27001認(rèn)證,會(huì)有利于其獲取國(guó)內(nèi)外的各種其他的信息安全類認(rèn)證。