ISO27001標準要求組織建立并保持一個文件化的信息安全管理體系,其中應闡述需要保護的資產���、組織風險管理的渠道����、控制目標及控制方式和需要的保證程度�。
不同的組織在建立與完善信息安全管理體系時,可根據自己的特點和具體情況�����,采取不同的步驟和方法����。但總體來說��,建立信息安全管理體系一般要經過下列四個基本步驟:信息安全管理體系的策劃與準備;信息安全管理體系文件的編制��;信息安全管理體系運行��;信息安全管理體系審核與評審���。
如果考慮認證過程其詳細的步驟如下:
1�、現場診斷���;
2����、確定信息安全管理體系的方針�����、目標���;
3�、明確信息安全管理體系的范圍���,根據組織的特性����、地理位置、資產和技術來確定界限�;
4、對管理層進行信息安全管理體系基本知識培訓��;
5����、信息安全體系內部審核員培訓;
6�、建立信息安全管理組織機構;
7���、實施信息資產評估和分類���,識別資產所受到的威脅、薄弱環(huán)節(jié)和對組織的影響�,并確定風險程度;
8��、根據組織的信息安全方針和需要的保證程度通過風險評估來確定應實施管理的風險��,確定風險控制手段����;
9、制定信息安全管理手冊和各類必要的控制程序 ����;
10、制定適用性聲明�����;
11��、制定商業(yè)可持續(xù)性發(fā)展計劃��;
12����、審核文件、發(fā)布實施���;
13���、體系運行,有效的實施選定的控制目標和控制方式�;
14�����、內部審核����;
15�����、外部第一階段認證審核�����;
16�����、外部第二階段認證審核����;
17、頒發(fā)證書��;
18��、體系持續(xù)運行/年度監(jiān)督審核;
19����、復評審核(證書三年有效)���。
至于應采取哪些控制方式則需要周密計劃�,并注意控制細節(jié)�。信息安全管理需要組織中的所有雇員的參與,比如為了防止組織外的第三方人員非法進入組織的辦公區(qū)域獲取組織的技術機密����,除物理控制外,還需要組織全體人員參與�,加強控制。此外還需要供應商���,顧客或股東的參與�,需要組織以外的專家建議����。信息、信息處理過程及對信息起支持作用的信息系統和信息網絡都是重要的商務資產���。信息的保密性���、完整性和可用性對保持競爭優(yōu)勢��、資金流動�、效益����、法律符合性和商業(yè)形象都是至關重要的。
當前�����,越來越多的組織及其信息系統和網絡面臨著包括計算機詐騙�����、間諜�、蓄意破壞、火災��、水災等大范圍的安全威脅�,諸如計算機病毒、計算機入侵、DoS攻擊等手段造成的信息災難已變得更加普遍,有計劃而不易被察覺��。組織對信息系統和信息服務的依賴意味著更易受到安全威脅的破壞���,公共和私人網絡的互連及信息資源的共享增大了實現訪問控制的難度�。
許多信息系統本身就不是按照安全系統的要求來設計的���,所以僅依靠技術手段來實現信息安全有其局限性,所以信息安全的實現必須得到管理和程序控制的適當支持���。確定應采取哪些控制方式則需要周密計劃��,并注意細節(jié)����。信息安全管理至少需要組織中的所有雇員的參與���,此外還需要供應商���、顧客或股東的參與和信息安全的專家建議。
友情提示
中邦咨詢是目前國內規(guī)模較大成立較早的認證/驗廠咨詢服務機構�。旗下設有15家控股子公司,五大綜合事業(yè)部。14年來�,形成了立足國內,兼顧海外的市場布局�,已成功為國內外上萬家客戶提供一站式認證/驗廠服務。
業(yè)務范圍涵蓋BSCI�����、Sedex����、WRAP、ISO系列認證���、BRC���、GRS等350+項目。 服務領域包括模具���,電子���,玩具,服裝��,塑料,五金�,陶瓷,食品�,家具,電器�����,鞋類�,以及商貿公司等企業(yè)。中邦一貫秉承”貢獻專業(yè)價值�,助力客戶成長”的服務理念長期致力于幫助幫助企業(yè)優(yōu)化流程�、提高質量、 破除貿易壁壘��、贏得全球市場!
歡迎撥打免費咨詢電話:400-183-5388
在線客服