信息安全對每個(gè)企業(yè)或組織來說都是需要的,所以信息安全管理體系認(rèn)證具有普遍的適用性���,不受地域����、產(chǎn)業(yè)類別和公司規(guī)模限制���。大通天成小編就為大家講解一下ISO27001信息安全管理體系認(rèn)證�。
一、申請iso27001認(rèn)證的基本條件?
1�、中國企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》、《生產(chǎn)許可證》或等效文件;外國企業(yè)持有關(guān)機(jī)構(gòu)的登記注冊證明��。?
2����、申請方的信息安全管理體系已按ISO/IEC?27001:2005標(biāo)準(zhǔn)的要求建立,并實(shí)施運(yùn)行3個(gè)月以上���。?
3、至少完成一次內(nèi)部審核�,并進(jìn)行了管理評審。?
4��、信息安全管理體系運(yùn)行期間及建立體系前的一年內(nèi)未受到主管部門行政處罰���。
二��、ISO27001信息安全管理體系認(rèn)證內(nèi)容
1)安全策略����。指定信息安全方針,為信息安全提供管理指引和支持���,并定期評審����。
2)信息安全的組織�。建立信息安全管理組織體系,在內(nèi)部開展和控制信息安全的實(shí)施�����。
3)資產(chǎn)管理����。核查所有信息資產(chǎn),做好信息分類�����,確保信息資產(chǎn)受到適當(dāng)程度的保護(hù)�。
4)人力資源安全。確保所有員工�����,合同方和第三方了解信息安全威脅和相關(guān)事宜以及各自的責(zé)任,義務(wù)�����,以減少人為差錯(cuò)���,盜竊���,欺詐或誤用設(shè)施的風(fēng)險(xiǎn)。
5)物理和環(huán)境安全����。定義安全區(qū)域,防止對辦公場所和信息的未授權(quán)訪問��,破壞和干擾;保護(hù)設(shè)備的安全����,防止信息資產(chǎn)的丟失���,損壞或被盜�,以及對企業(yè)業(yè)務(wù)的干擾;同時(shí)���,還要做好一般控制���,防止信息和信息處理設(shè)施的損壞和被盜���。
6)通信和操作管理。制定操作規(guī)程和職責(zé)��,確保信息處理設(shè)施的正確和安全操作;建立系統(tǒng)規(guī)劃和驗(yàn)收準(zhǔn)則�����,將系統(tǒng)失效的風(fēng)險(xiǎn)降到最低;防范惡意代碼和移動(dòng)代碼�����,保護(hù)軟件和信息的完整性;做好信息備份和網(wǎng)絡(luò)安全管理����,確保信息在網(wǎng)絡(luò)中的安全,確保其支持性基礎(chǔ)設(shè)施得到保護(hù);建立媒體處置和安全的規(guī)程�,防止資產(chǎn)損壞和業(yè)務(wù)活動(dòng)的中斷;防止信息和軟件在組織之間交換時(shí)丟失,修改或誤用��。
7)訪問控制。制定訪問控制策略��,避免信息系統(tǒng)的非授權(quán)訪問��,并讓用戶了解其職責(zé)和義務(wù)��,包括網(wǎng)絡(luò)訪問控制����,操作系統(tǒng)訪問控制,應(yīng)用系統(tǒng)和信息訪問控制����,監(jiān)視系統(tǒng)訪問和使用,定期檢測未授權(quán)的活動(dòng);當(dāng)使用移動(dòng)辦公和遠(yuǎn)程控制時(shí)���,也要確保信息安全����。
8)系統(tǒng)采集���、開發(fā)和維護(hù)。標(biāo)示系統(tǒng)的安全要求�����,確保安全成為信息系統(tǒng)的內(nèi)置部分,控制應(yīng)用系統(tǒng)的安全��,防止應(yīng)用系統(tǒng)中用戶數(shù)據(jù)的丟失�����,被修改或誤用;通過加密手段保護(hù)信息的保密性�,真實(shí)性和完整性;控制對系統(tǒng)文件的訪問,確保系統(tǒng)文檔�,源程序代碼的安全;嚴(yán)格控制開發(fā)和支持過程,維護(hù)應(yīng)用系統(tǒng)軟件和信息安全����。
9)信息安全事故管理。報(bào)告信息安全事件和弱點(diǎn)��,及時(shí)采取糾正措施���,確保使用持續(xù)有效的方法管理信息安全事故����,并確保及時(shí)修復(fù)��。
10)業(yè)務(wù)連續(xù)性管理。目的是為減少業(yè)務(wù)活動(dòng)的中斷�����,是關(guān)鍵業(yè)務(wù)過程免收主要故障或天災(zāi)的影響����,并確保及時(shí)恢復(fù)。
11)符合性���。信息系統(tǒng)的設(shè)計(jì)���,操作,使用過程和管理要符合法律法規(guī)的要求�����,符合組織安全方針和標(biāo)準(zhǔn)��,還要控制系統(tǒng)審計(jì)�,使信息審核過程的效力最大化,干擾最小化���。
三�����、ISO27001信息安全管理體系認(rèn)證的效益
1�����、通過定義�����、評估和控制風(fēng)險(xiǎn)��,確保經(jīng)營的持續(xù)性和能力
2����、減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責(zé)任
3���、通過遵守國際標(biāo)準(zhǔn)提高企業(yè)競爭能力����,提升企業(yè)形象
4���、明確定義所有組織的內(nèi)部和外部的信息接口目標(biāo):謹(jǐn)防數(shù)據(jù)的誤用和丟失
5�����、建立安全工具使用方針
6��、謹(jǐn)防技術(shù)訣竅的丟失
7�����、在組織內(nèi)部增強(qiáng)安全意識(shí)
8����、可作為公共會(huì)計(jì)審計(jì)的證據(jù)
上述便是小編為您整理的“ISO27001信息安全管理體系認(rèn)證內(nèi)容有什么”相關(guān)資訊,如有相關(guān)疑問直接撥打→13391522356←獲得一對一服務(wù)咨詢服務(wù)�����。如果這樣還不夠����,不如嘗試掃碼關(guān)注大通天成公眾號(hào)。
行業(yè)動(dòng)態(tài)
辦事指南
政策法規(guī)
常見問題
