ISO27001適合哪些企業(yè)
ISO27001信息安全管理體系風(fēng)險(xiǎn)評(píng)估的主要工作任務(wù)及內(nèi)容(活動(dòng))1)問(wèn)卷調(diào)查對(duì)ISMS范圍內(nèi)的相關(guān)人員進(jìn)行問(wèn)卷調(diào)查,了解組織人員的安全管理意識(shí)、組織面臨的主要威脅情況以及發(fā)生的主要安全事件。2)現(xiàn)場(chǎng)訪談面對(duì)面訪談信息系統(tǒng)架構(gòu)、部署以及安全弱點(diǎn)、管理及技術(shù)措施等。3)手工檢測(cè)人工檢查或測(cè)試系統(tǒng)的安全管理落實(shí)情況。4)安全掃描使用自動(dòng)化工具進(jìn)行網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)或應(yīng)用系統(tǒng)掃描。5)滲透測(cè)試對(duì)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)或應(yīng)用系統(tǒng)實(shí)施滲透測(cè)試,可選。6)綜合分析對(duì)問(wèn)卷調(diào)查、現(xiàn)場(chǎng)訪談、手工檢測(cè)、安全掃描收集的信息進(jìn)行綜合分析。7)撰寫(xiě)報(bào)告撰寫(xiě)差距分析報(bào)告和現(xiàn)狀報(bào)告。
企業(yè)推行ISO27001認(rèn)證有哪些補(bǔ)貼政策?為了鼓勵(lì)服務(wù)外包企業(yè)(ITO,BOP,KPO),從中央到地方各級(jí)政府推出一系列針對(duì)ISO27001認(rèn)證的鼓勵(lì)政策:商務(wù)部-服務(wù)外包企業(yè)財(cái)企[2011]69號(hào)--(四)對(duì)服務(wù)外包企業(yè)取得的開(kāi)發(fā)能力成熟度模型集成(CMMI)、開(kāi)發(fā)能力成熟度模型(CMM)、人力資源成熟度模型(PCMM)、信息安全管理(ISO27001/BS7799)、IT服務(wù)管理(ISO20000)、服務(wù)提供商環(huán)境安全性(SAS70)、國(guó)際實(shí)驗(yàn)動(dòng)物評(píng)估和認(rèn)可委員會(huì)認(rèn)證(AAALAC)、優(yōu)良實(shí)驗(yàn)室規(guī)范(GLP)、信息技術(shù)基礎(chǔ)架構(gòu)庫(kù)認(rèn)證(ITIL)、客戶(hù)服務(wù)中心認(rèn)證(COPC)、環(huán)球同業(yè)銀行金融電訊協(xié)會(huì)認(rèn)證(SWIFT)、質(zhì)量管理體系要求(ISO9001)、業(yè)務(wù)持續(xù)性管理標(biāo)準(zhǔn)(BS25999)等相關(guān)認(rèn)證及認(rèn)證的系列維護(hù)、升級(jí)給予支持,每個(gè)企業(yè)每年*多可申報(bào)3個(gè)認(rèn)證項(xiàng)目,每個(gè)項(xiàng)目不超過(guò)50萬(wàn)元的資金支持。
ISMS信息安全管理體系的建構(gòu)方法一、要不斷完善ISMS信息安全管理框架體系,一定要按照適當(dāng)?shù)某绦蜻M(jìn)行相應(yīng)的管理,不能忽略任何一個(gè)環(huán)節(jié)。二、要對(duì)ISMS信息安全管理框架中的內(nèi)容進(jìn)行有效分析,將每一具體環(huán)節(jié)都落到實(shí)處。ISMS信息安全管理體系的落實(shí)效果必然會(huì)受到各種因素的影響,要綜合全面地進(jìn)行考慮。三、要建立和完善ISMS信息安全管理的相關(guān)文檔。四、要做好信息安全事件的及時(shí)記錄,并將信息進(jìn)行有效地回饋,便于建立有效的信息安全應(yīng)對(duì)機(jī)制。
ISO27000認(rèn)證的意義:根據(jù)CSI/FBI的ComputerCrimeandSecuritySurvey2005中的統(tǒng)計(jì),65%的組織至少發(fā)生了一次信息安全事故,而在這份報(bào)告中同時(shí)表明有97%的組織部署了防火墻,96%組織部署了防病毒軟件。可見(jiàn),我們傳統(tǒng)的信息安全技術(shù)手段并不奏效,信息安全現(xiàn)狀不容樂(lè)觀。實(shí)際上,只有在宏觀層次上實(shí)施了良好的信息安全管理,即采用國(guó)際上公認(rèn)的*佳實(shí)踐或規(guī)則集等,才能使微觀層次上的安全,如物理措施等,實(shí)現(xiàn)其恰當(dāng)?shù)淖饔谩2捎肐SMS標(biāo)準(zhǔn)并得到認(rèn)證無(wú)疑是組織應(yīng)該考慮的方案之一。1、預(yù)防信息安全事故,保證組織業(yè)務(wù)的連續(xù)性,使組織的重要信息 |
 |
|