-
权检认证(深圳)有限公司
主营:深圳企业标准备案申请,深圳CE认证机构,深圳办理
权检认证(深圳)有限公司
主营:深圳企业标准备案申请,深圳CE认证机构,深圳办理
5
ISO/IEC 27001 的控制目标及措施
ISO/IEC 27001制定的宗旨是确保机构信息的机密性、完整性及可用性,为达成上述宗旨,该标准共提出了39个控制目标及134项控制措施,推行ISO/IEC 27001标准的机构可在其中选择适用于其业务的控制措施,同时也可增加其他的控制措施。而与ISO/IEC 27001相辅的 ISO 17799:2005 标准是信息安全管理的实务守则,为如何推行控制措施提供指引。
ISO/ IEC 27001:2005 的架构
ISO/ IEC 27001:2005 标准在 2005 年 10 月公布,同时取缔了多国采纳的英国标准BS 7799-2:2002 ,但新旧标准的要求并无太大分别。ISO / IEC 27001:2005 标准以 Edward Deming 博士提出的“计划-实施-核查-采取行动”循环周期作为制定蓝图,以实现持续改善的目标。
I. 计划
计划重要的部分是设定涵盖的范畴及区域,它可以是:
覆盖整个组织并涉及多个地点的办事处及/或厂房
只涉及一个办事处或厂房
只涉及一个多元化服务供应商的其中一个业务
计划的主要工作包括信息安全管理系统、风险评估、风险管理、风险处理措施和适用性。
信息安全管理系统是运营风险整体管理系统的其中一部分,目的是建立、实施、推行、检讨、维持及改善信息安全。
机构在信息的机密性、完整性和可用性三方面的目标各是什么呢?什么程度的风险是可接受的?是否存在任何限制,如法律、法规或机构内部程序?信息安全政策应该是一份由行政总监签署认可的文件。控制措施应采取由上至下的推行方式。
风险评估 根据需要保护的信息和可接受的风险程度来识别真正的风险,并就这些风险出现的可能性与其影响的严重性作出评估,从而辨别出机构需要管理的风险,即下图红色部分内的风险。
风险管理 / 风险处理
完成风险评估后,便要决定如何处理这些风险。
适用性 (Statement of Applicability)
识别出所有的保安措施,指出哪些对机构而言是适用或不适用的,并说明原因。必须针对风险评估的结果来选择控制措施。
II. 实施
选定了控制措施后,便需落实推行,同时也需制定程序以确保能够*察觉到事故的发生并作出回应,并确保所有员工都了解信息安全的重要性,且确保其接受了适当的培训,及有能力执行他们负责的保安任务。此外,还要妥善管理所需的资源。
III. 核查
核查的目的是确保控制措施都已推行,并能达到既定的目标。尽管有多种可行的核查方法,但只有内部审核与管理检讨是强制性的要求。
IV. 采取行动
便需对核查结果采取适当的行动,相关的行动可以是:
修正
预防
改善
ISO27001信息安全管理体系申请的必要条件
1、申请组织年检有效的工商营业执照复印件;建议加盖申请组织公章,“仅用于认证申请”;
2、有效期内的涉及国家法规强制要求的许可文件或资质,如:建筑智能化资质、安全技术防范资质、系统集成资质等;
3、现行有效的管理体系文件或管理体系说明(如管理手册、程序文件等)
ISO27001认证对企业带来的好处:
1.引入信息安全管理体系就可以协调各个方面信息管理,从而使管理更为有效。保证信息安全不是仅有一个防火墙,或找一个提供信息安全服务的公司就可以达到的。它需要全面的综合管理。
2.通过进行ISO27001信息安全管理体系认证,可以增进组织间电子电子商务往来的信用度,能够建立起网站和贸易伙伴之间的互相信任,随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益,并为广大用户和服务提供商提供一个基础的设备管理。同时,把组织的干扰因素降到小,创造更大收益。
3.通过认证能保证和组织所有的部门对信息安全的承诺。
4.通过认证可改善全体的业绩、消除不信任感。
5.获得国际认可的机构的认证证书,可得到国际上的承认,拓展您的业务。
6.建立信息安全管理体系能降低这种风险,通过第三方的认证能增强投资者及其他利益相关方的投资信心。
7.组织按照ISO27001标准建立信息安全管理体系,会有一定的投入,但是若能通过认证机关的审核,获得认证,将会获得有价值的回报。企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在**内的地位;定期的监督审核将确保组织的信息系统不断地被监督和改善,并以此作为增强信息安全性的依据,信任、信用及信心,使客户及利益相关方感受到组织对信息安全的承诺。
8.通过认证能够向及行管部门组织对相关法律法规的符合性。
公司申请办理ISO27001资质认证前需提前准备有关材料,如下:
1.质量手册
2,程序文件
3.作业书或标准规范文件
4.表单纪录
5在申请认证前还需开展内审,管理评审作业
6.对于审查问题的不断改进及记录
以上例出了大类的需要基本资料,公司必须有技术*的体系方可完成任务,或需用管理咨询公司都是完成任务。
在这也列出来具体步聚以仅供参考
1、 深入分析公司内外部具体情况与需用标淮的差异
2、 对于需改进这部分或者的标准化拟定培训方案
3、 制做质量手册,程序文件
4、 按程序运行,形成涉及到的纪要文档
5、 内审,审察运转情形
6、 管理评审,对有欠缺的结合实际持续改善
7、 再提交申请第三方审查
8、实地审查及检验根据上述所例的提前准备基本资料
9、召开会议,对核查具体情况发布
10、核查通过即可待*书
涉及标淮的具体化规定就不一一例出,若有需求热烈欢迎通话咨询。
申请条件
申请ISO27001认证的基本条件
1、中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册。
2、申请方的信息安全管理体系已按ISO/IEC 27001:2005标准的要求建立,并实施运行3个月以上。
3、至少完成一次内部审核,并进行了管理评审。
4、信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
申请ISO27001认证应提交的文件及材料
1、组织法律文件,如营业执照及年检复印件(盖公章);
2、组织机构代码证书复印件、税务登记证复印件(盖公章);
3、申请认证组织的信息安全管理体系有效运行的文件(如体系文件发布控制表,有时间标记的记录等复印件);
4、申请组织的简介:
在审核之前,需要准备的材料有:
1、公司简介;
2、公司营业执照;
3、其他相关的行业许可资质(如系统集成资质、增值电信许可资质、软件著作权、**、商标许可等);
4、组织结构图(部门架构和目前公司的主要人员姓名、归属部门、岗位);
5、公司网络拓扑图;
6、公司内现有的IT硬件、办公电脑设备清单、网络设备/服务器设备清单;
7、公司现有IT方面的管理制度。
ISO27001的审核流程比较复杂,而且申请ISO27001认证,ISO27001体系文件必须要运行3个月,进行过一次内审和管理评审,才能提交给审核方。这里先看一下具体的审核流程:
1、现状调研
从日常运维、管理机制、系统配置等方面对贵公司信息安全管理安全现状进行调研,通过培训使贵公司相关人员全面了解信息安全管理的基本知识。包括:
(1)项目启动:前期沟通,实施计划,项目小组,资源支持,启动会议。
(2)前期培训:信息安全管理基础,风险评估方法。
(3)现状评估:初步了解信息安全现状,分析与ISO27001标准要求的差距。
(4)业务分析:访谈调查,核心与支持业务,业务对资源的需求,业务影响分析。
2、风险评估
对贵公司信息资产进行资产价值、威胁因素、脆弱性分析,从而评估贵公司信息安全风险,选择适当的措施、方法实现管理风险的目的。
(1)资产识别:识别贵公司的各种信息资产。
(2)风险评估:重要资产、威胁、弱点、风险识别与评估。
3、管理策划
根据贵公司对信息安全风险的策略,制定相应信息安全整体规划、管理规划、技术规划等,形成完整的信息安全管理系统。
(1)文件编写:编写ISMS各级管理文件,进行Review及修订,管理层讨论确认。
(2)发布实施:ISMS实施计划,体系文件发布,控制措施实施。
(3)中期培训:全员安全意识培训,ISMS实施推广培训,必要的考核。
4、体系实施
ISMS建立起来(体系文件正式发布实施)之后,要通过一定时间的试运行来检验其有效性和稳定性。
(1)认证申请:与认证机构切磋商,准备材料申请认证,制定认证计划,预审核。
(2)后期培训:审核员等角色的技能培训。
(3)内部审核:审核计划,Checklist,内部审核,不符合项整改
(4)管理评审:信息安全管理会组织ISMS整体评审,纠正预防。
5、认证审核
经过一定时间运行,ISMS达到一个稳定的状态,各项文档和记录已经建立完备,此时,可以提请进行认证。
(1)认证准备:准备送审文件,安排部署审核事项。
(2)协助认证:内部审核小组陪同协助,应对审核问题。
对于初次申请审核,自己申请很有可能会因为没有经验而浪费大量的时间和人力,上海擎标一向以客户为本,凡事以客户的利益出发,尽可能简化客户自身操作的流程,用的服务提高认证申请的*。上海擎标拥有且经验丰富的审核团队,全程管家式服务,从实际、人工、经济各方面为企业降低审核成本,准确、地完成审核流程,近年来已帮助全国多家企业通过各类审核,大大提高了企业竞争力。
除了ISO27001认证,上海擎标还承接CMMI、ISO20000、ISO22301、ITSS以及涉密信息系统集成资质等相关资质的审核认证咨询,欢迎联系我们做进一步的了解。
申请ISO27001认证应提交的文件及材料:
1、组织法律文件,如营业执照及年检复印件(盖公章);
2、组织机构代码证书复印件、税务登记证复印件(盖公章);
3、申请认证组织的信息安全管理体系有效运行的文件(如体系文件发布控制表,有时间标记的记录等复印件);
4、申请组织的简介:
4.1、组织简介(1000字左右);
4.2、申请组织的主要业务流程;
4.3、组织机构图或职能表述文件;
5、申请组织的体系文件,需包含但不于(可以合并):
5.1、信息安全管理体系ISMS方针文件;
5.2、风险评估程序;
5.3、适用性声明;
5.4、风险处理程序;
5.5、文件控制程序;
5.6、记录控制程序;
5.7、内部审核程序;
5.8、管理评审程序;
5.9、纠正措施与预防措施程序;
5.10、控制措施有效性的测量程序;
5.11、职能角色分配表;
5.12、整个体系文件结构与清单。
6、申请组织体系文件与GB/T22080-2008/ISO/IEC27001:2005要求的文件对照说明;
7、申请组织内部审核和管理评审的资料;
8、申请组织记录保密性或敏感性声明;
9、认证机构要求申请组织提交的其他补充资料。
权检认证是提供ISO9001质量体系认证.ISO45001环境管理体系认证,OHSAS18001职业健康安全认证,ISO27001信息安全体系认证,ISO20000信息技术体系认证,五环认证,AAA认证等咨询,CCRC信息安全服务资质、ITSS信息技术服务、售后服务认证(三星、四星、五星)等产品安全认证以及两化融合贯标、知识产权贯标、软著申报、**申报、高企申报等咨询服务于一体的有限公司。公司拥有多名顾问师,都具有丰富咨询经验,精通各种标准,并且在特定领域有所建树。企添大证有着良好的口碑,多家公司在企添大证的下一次性成功通过了认证。
公司成立以来,一直坚持不懈地推动企业标准化管理,已经为多家客户提供包括业务连续性、信息安全、信息技术服务等认证咨询/培训服务,我公司得到了认证机构和客户的一致认可。 欢迎新老客户合作共赢。
http://13352614101.b2b168.com
深圳市环测威技术有限公司授权,权检认证(深圳)有限公司使用其CNAS,CMA证书用于网站推广审核。
权检认证(深圳)有限公司所发信息中的质检由深圳市环测威技术有限公司、由深圳市环测威技术有限公司出具。
欢迎来到权检认证(深圳)有限公司网站, 具体地址是广东省深圳市宝安区广东深圳市宝安区西乡固戍力林互联网产业园A栋315,联系人是叶经理。
主要经营权检认证(深圳)有限公司是一家深圳CE认证机构;主营业务:深圳企业标准备案申请、深圳办理等;从事产品与认证咨询服务的三方认证机构,是、检验、认证及技术服务为一体的综合性立三方机构,在**范围内为企业提供一站式解决方案。。
单位注册资金单位注册资金人民币 100 - 250 万元。
你有什么需要?我们都可以帮你一一解决!我们公司主要的特色服务是:深圳企业标准备案申请,深圳CE认证机构,深圳办理等,“诚信”是我们立足之本,“创新”是我们生存之源,“便捷”是我们努力的方向,用户的满意是我们较大的收益、用户的信赖是我们较大的成果。