前言
信息和網(wǎng)絡(luò)技術(shù)的高速發(fā)展,在給我們的生產(chǎn)生活帶來(lái)便利的同時(shí),也存在著相當(dāng)大的信息安全隱患。據(jù)IDC統(tǒng)計(jì),全球每分鐘就有2家企業(yè)因?yàn)樾畔踩珕?wèn)題倒閉,在所有的信息安全事故中,有20%-30%是因?yàn)楹诳腿肭只蚱渌獠吭蛟斐傻模?0%-80%是由于內(nèi)部員工的疏忽或有意泄露造成的,其中又有高達(dá)78%的數(shù)據(jù)泄露是來(lái)自內(nèi)部員工的不規(guī)范操作。因此企業(yè)信息安全建設(shè)需要內(nèi)外兼修,構(gòu)建企業(yè)信息安全整體解決方案,要從信息安全技術(shù)和信息安全管理兩個(gè)方面去考慮。
伴隨著信息技術(shù)的發(fā)展,我們國(guó)家也陸續(xù)出臺(tái)了網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)和配套標(biāo)準(zhǔn),如《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)標(biāo)準(zhǔn)》 (簡(jiǎn)稱等保2.0)、《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》、《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見(jiàn)》、《中華人民共和國(guó)密碼法》、《電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)能力專項(xiàng)行動(dòng)方案》等,對(duì)于違反信息安全和網(wǎng)絡(luò)安全相關(guān)法律法規(guī)的,會(huì)承擔(dān)相應(yīng)的法律責(zé)任。因此,企業(yè)建立信息安全管理體系(ISO27001)并通過(guò)第三方認(rèn)證,重要性日漸凸顯。
一、信息安全管理體系標(biāo)準(zhǔn)簡(jiǎn)介
信息安全管理體系(Information Security Management System,簡(jiǎn)稱ISMS)的概念最初來(lái)源于英國(guó)標(biāo)準(zhǔn)學(xué)會(huì)制定的BS7799-1:1995《信息安全管理實(shí)施細(xì)則》。2002年,英國(guó)標(biāo)準(zhǔn)學(xué)會(huì)發(fā)布了BS7799-2:2002《信息安全管理體系規(guī)范》,2005年10月,該規(guī)范通過(guò)了國(guó)際標(biāo)準(zhǔn)化組織ISO的認(rèn)可,正式成為國(guó)際標(biāo)準(zhǔn),被廣泛接受。現(xiàn)行的ISO27001:2013標(biāo)準(zhǔn)于2013年10月19日由國(guó)際標(biāo)準(zhǔn)化組織(ISO)正式頒布實(shí)施。信息安全管理體系標(biāo)準(zhǔn)提供建立、實(shí)現(xiàn)、維護(hù)和持續(xù)改進(jìn)信息安全管理體系的要求,通過(guò)應(yīng)用風(fēng)險(xiǎn)管理過(guò)程來(lái)保持信息的保密性、完整性和可用性,從而為相關(guān)方樹立風(fēng)險(xiǎn)得到充分管理的信心。該標(biāo)準(zhǔn)的框架如下:
標(biāo)準(zhǔn)要求組織建立風(fēng)險(xiǎn)評(píng)估管理模型,進(jìn)行信息安全風(fēng)險(xiǎn)的分析,并對(duì)其進(jìn)行實(shí)施控制措施,以此達(dá)到信息安全保護(hù)的目的。標(biāo)準(zhǔn)也提供了控制目標(biāo)和控制的參考列表,包含14個(gè)控制域,35個(gè)目標(biāo),114個(gè)控制措施。組織在建立自己的控制措施時(shí),需與標(biāo)準(zhǔn)進(jìn)行比較,驗(yàn)證沒(méi)有遺漏必要的控制措施。
二、信息安全管理體系認(rèn)證的價(jià)值
組織實(shí)施信息安全管理體系,通過(guò)ISO27001標(biāo)準(zhǔn)認(rèn)證,證明了企業(yè)已經(jīng)建立了一套科學(xué)有效的體系作為保障,為企業(yè)帶來(lái)全面的價(jià)值提升,包括但不限于以下五個(gè)方面:
1.提升企業(yè)品牌形象
企業(yè)實(shí)施信息安全管理體系并通過(guò)第三方認(rèn)證機(jī)構(gòu)相關(guān)認(rèn)證,能向公眾和外部客戶展示自身的管理水平和實(shí)力,能向外部證明自身管理能力符合相關(guān)信息安全標(biāo)準(zhǔn)及相關(guān)法律法規(guī)的要求,體現(xiàn)企業(yè)較于同業(yè)企業(yè)的競(jìng)爭(zhēng)優(yōu)勢(shì)。
2.滿足市場(chǎng)準(zhǔn)入需求
各類體系認(rèn)證證書是IT行業(yè)招投標(biāo)的敲門磚,不同證書在不同的投標(biāo)標(biāo)的會(huì)有不同的分?jǐn)?shù)占比。部分項(xiàng)目標(biāo)的已經(jīng)明確要求ISO27001認(rèn)證證書作為準(zhǔn)入門檻。
3.提高企業(yè)信息安全管理能力
通過(guò)實(shí)施ISO27001.按照PDCA模型建立信息安全管理自我約束機(jī)制,有助于企業(yè)識(shí)別信息安全風(fēng)險(xiǎn)并加改進(jìn)規(guī)避,減少可能存在的安全隱患,降低潛在安全事件發(fā)生給企業(yè)帶來(lái)的損失,規(guī)范企業(yè)各個(gè)部門各個(gè)崗位的職責(zé),提升員工信息安全意識(shí),不斷改善,有效預(yù)防,最終實(shí)現(xiàn)組織的良性發(fā)展。
4.其他資質(zhì)前置條件
目前有許多IT行業(yè)內(nèi)通用的證書如業(yè)務(wù)連續(xù)性管理體系(ISO22301)、 云服務(wù)信息安全管理體系、(ISO27017)云隱私保護(hù)體系、(ISO27018)隱私信息安全管理體系(ISO27701)、個(gè)人身份信息保護(hù)管理體系(ISO21951)、國(guó)際云安全認(rèn)證(C-STAR)等,在申報(bào)這些認(rèn)證證書時(shí),申報(bào)企業(yè)需要提前建立ISO27001管理體系并通過(guò)第三方認(rèn)證。
5.獲取政府財(cái)務(wù)支持
為響應(yīng)國(guó)家相關(guān)行業(yè)政策,推進(jìn)區(qū)域企業(yè)高質(zhì)量發(fā)展,鼓勵(lì)企業(yè)提升自身信息安全管理能力,各地主管部門對(duì)本地區(qū)通過(guò)第三方認(rèn)證的企業(yè)有不同的財(cái)務(wù)補(bǔ)貼政策。
三、如何建立信息安全管理體系
建立信息安全管理體系,需要基于公司的業(yè)務(wù)現(xiàn)狀和組織戰(zhàn)略,建立信息安全目標(biāo)和策略,以ISO27001標(biāo)準(zhǔn)為依據(jù),風(fēng)險(xiǎn)評(píng)估為基礎(chǔ),在組織的整體業(yè)務(wù)風(fēng)險(xiǎn)框架內(nèi),建立和運(yùn)行信息安全管理體系(ISMS),并通過(guò)建立相關(guān)監(jiān)控體系評(píng)估ISMS的有效性,最終將針對(duì)監(jiān)測(cè)結(jié)果對(duì)信息安全管理體系進(jìn)行持續(xù)改進(jìn)。
建設(shè)ISMS系統(tǒng),可以由組織自己完成,要求組織擁有信息安全專業(yè)的人才,大部分的公司不具備這樣的能力。也可以由專業(yè)的咨詢公司或者安全公司等有27001專業(yè)實(shí)施經(jīng)驗(yàn)的專家協(xié)助完成。
四、信息安全認(rèn)證流程
五、認(rèn)證申請(qǐng)的條件
中國(guó)企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營(yíng)業(yè)執(zhí)照》、《生產(chǎn)許可證》或等效文件;外國(guó)企業(yè)持有關(guān)機(jī)構(gòu)的登記注冊(cè)證明。
申請(qǐng)方的信息安全管理體系已按ISO/IEC 27001:2013標(biāo)準(zhǔn)的要求建立,并實(shí)施運(yùn)行3個(gè)月以上。
至少完成一次內(nèi)部審核,并進(jìn)行了管理評(píng)審。
信息安全管理體系運(yùn)行期間及建立體系前的一年內(nèi)未受到主管部門行政處罰。
六、認(rèn)證審核需提交的材料
在進(jìn)行信息安全管理體系審核之前,需要準(zhǔn)備和提交完備的體系材料如下:
1、組織法律證明文件,如營(yíng)業(yè)執(zhí)照及年檢證明復(fù)印件;
2、申請(qǐng)認(rèn)證體系有效運(yùn)行的證明文件(如體系文件發(fā)布控制表,有時(shí)間標(biāo)記的記錄等); 3、企業(yè)簡(jiǎn)介、主要業(yè)務(wù)流程;組織機(jī)構(gòu)圖和部門職責(zé);
4、申請(qǐng)組織的體系文件(包括管理手冊(cè)、管理程序、作業(yè)文件、記錄文件等);
5、申請(qǐng)組織體系文件與標(biāo)準(zhǔn)要求的文件對(duì)照說(shuō)明;
6、申請(qǐng)組織內(nèi)部審核和管理評(píng)審的證明資料;
7、申請(qǐng)組織記錄保密性或敏感性聲明
8、標(biāo)準(zhǔn)要求的其他文件
管理體系文件通常分為管理手冊(cè)、程序文件、作業(yè)文件、運(yùn)行記錄四級(jí)文件。各級(jí)文件對(duì)應(yīng)的材料包括但不限于如下材料:
中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢,檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu),儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商,法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了,如還需要了解更多專業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊,包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息,中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導(dǎo)等知識(shí)。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心
免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)跟我們聯(lián)系刪除并致歉!
本文來(lái)源: http://www.rumin8raps.com/zs/202310/ccaa_55869.html
