ISO 27000 信息安全管理體系(ISMS)認證

ISO 27000信息安 全管理體系(ISMS)

咨詢電話(huà)：史先生188 3118 7358

目錄

１、項目簡介

２、信息安 全管理體系認證業務範圍

３、建立ISO27000 信息安 全管理體系的步驟 

一、項目簡介

信息安 全管理實用規則ISO/IEC27001的前身爲英國的BS7799标準，該标準由英國标準協會（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該标準

BS7799分爲兩個部分：

BS7799-1，信息安 全管理實施規則、  BS7799-2，信息安 全管理體系規範。

第 一部分：對信息安 全管理給出建議(yì)，供負責在其組織啓動、實施或維護安 全的人員(yuán)使用

*部分：說明了建立、實施和文件化信息安 全管理體系（ISMS）的要求，規定了根據獨立組織的需要應實施安 全控制的要求。

建立健全信息安 全管理體系對企業的安 全管理工作和企業的發展意義重大。首先，此體系的建立将提高員(yuán)工信息安 全意識，提升企業信息安 全管理的水平，增強組織抵禦災難性事件的能力，是(shì)企業信息化建設中的重要環節，必将大大提高信息管理工作的安 全性和可靠性，使其更好地服務于企業的業務發展。其次，通過信息安 全管理體系的建設，可有效提高對信息安 全風險的管控能力，通過與等級保護、風險評估等工作接續起來，使得信息安 全管理更加科學有效。後，信息安 全管理體系的建立将使得企業的管理水平與國際先進水平接軌，從而成長爲企業向國際化發展與合作的有力支撐。 

二、信息安 全管理體系認證業務範圍 

認證用标準: GB/T 22080

注：分類依據《CNAS-SC170》

三、建立ISO27000 信息安 全管理體系的步驟

1、信息安 全管理體系策劃和準備

策劃和準備階段主要是(shì)做好建立信息安 全管理體系的各種前期工作。内容包括教育培訓、拟定計劃、安 全管理發展情況調研，以及相(xiàng)關資源的配置與管理。

2、确定信息安 全管理體系适用的範圍

信息安 全管理體系的範圍*是(shì)需要*進行管理的安 全領域。組織需要根據自己的實際情況，可以在整個組織範圍内、也可以在個别重要部門或領域内實施。 在本階段的工作，應将組織劃分成不同的信息安 全控制領域，這樣做易于組織對有不同需求的領域進行适當的信息安 全管理。在定義适用範圍時，應*考慮組織的 适用環境、适用人員(yuán)、現(xiàn)有信息系統、現(xiàn)有信息資産及它們之間相(xiàng)互關系等。

3、現(xiàn)狀調查與風險評估

依據有關信息安 全技術與管理标準，對信息系統及由其生成、處理、傳輸和存儲的信息的機密性、完整性和可用性等安 全屬性進行調研和評價，以及評估信息資産面臨的威脅以及導緻安 全事件發生的可能性，并結合安 全事件所涉及的信息資産價值來判斷安 全事件一旦發生對組織造成的影響。

4、建立信息安 全管理框架

建立信息安 全管理體系要規劃和建立一個合理的信息安 全管理框架，要從整體和全局的視角，從信息系統的所有層面進行整體安 全建設，從信息系統本身出 發，根據業務性質、組織特征、信息資産狀況和技術條件，建立信息資産清單，進行風險分析、需求分析和選擇安 全控制，準備适用性聲明等步驟，從而建立安 全體 系并提出安 全解決方案 。

5、信息安 全管理文件體系編寫

建立并保持一個文件化的信息安 全管理體系是(shì)ISO/IEC27001:2005标準的總體要求，編寫信息安 全管理體系文件是(shì)建立信息安 全管理體系的 基礎工作，也是(shì)一個組織實現(xiàn)風險控制、評價和改進信息安 全管理體系、實現(xiàn)持續改進不可少的依據。在信息安 全管理體系建立的文件中應該包含有：安 全方針文 檔、适用範圍文檔、風險評估文檔、實施與控制文檔、适用性聲明文檔。

6、信息安 全管理體系的運行與改進

信息安 全管理體系文件編制完成以後，組織應按照文件的控制要求進行審核與批準并發布實施，*此，信息安 全管理體系将進入運行階段。在此期間，組織應 加強運作力度，充分發揮體系本身的各項功能，及時發現(xiàn)體系策劃中存在的問題，找出問題根源，采取糾正措施，并按照更改控制程序要求對體系予以更改，以達到 進一步完善信息安 全管理體系的目的。

7、信息安 全管理體系審核

體系審核是(shì)爲獲得審核證據，對體系進行客觀的評價，以确定滿足審核準則的程度所進行的系統的、獨立的并形成文件的檢查過程。體系審核包括内部審核和 外部審核(第三方審核)。内部審核一般以組織名義進行，可作爲組織自我合格檢查的基礎；外部審核由外部獨立的組織進行，可以提供符合要求（如 ISO/IEC27001）的認證或注冊。

信息安 全管理體系的建立是(shì)一個目标疊加的過程，是(shì)在不斷發展變化的技術環境中進行的，是(shì)一個動态的、閉環的風險管理過程，要想獲得有效的成果，需要 從評估、防護、監督、響應和恢複，這些都需要從上到下的參與和重視，否則隻能是(shì)流于形式與過程，起不到真正有效的安 全控制的目的和作用。