产经 来源:中国财投网 2023-03-03 14:15:44
ISO27001信息安全管理体系简称ISMS,作为信息安全管理标准,ISO27001为信息安全管理体系的建立、实施、运行、监视、评审、维护和持续改进提供了模型和必要的控制目标和措施,是ISMS顺利实施的最佳指南。一般来说,企业建立和实施ISO27001认证至少需要3个月的时间。
一、准备阶段
1.项目启动:成立信息安全工作小组,根据业务、组织、位置、资产和技术等方面的特性,确定ISMS方针、ISMS的范围和边界,包括对范围任何删减的详细说明和正当性理由。
2.前期培训:ISO27001标准培训,使全体员工了解自身在推行ISO27001过程中所担当的角色和作用,以利于各项推行活动的顺利开展。
3.信息安全现状调研:选择重要的、关注需求模式的过程及子过程。讨论分析该组织与需求模式相关的现状,即哪些过程是重要的,为了保证可用性、完整性及机密性当前应该做哪些工作。
4.风险评估:识别风险;分析和评估风险;识别和评价风险处置的可选措施;为处理风险选择控制目标和控制措施(制定不可接受风险处理计划)。
5.准备适用性声明:选择控制目标及控制措施,对标准附录A不适用控制目标和控制措施的删减,以及删减的合理性说明。
二、实现阶段
1.风险处理:实施风险处置计划以达到已识别的控制目标,包括资金安排、角色和职责的分配。
2.文件化管理体系的建立:ISMS体系文件架构的确定(通常可分为四层次如ISMS手册、程序文件、作业指导书、记录表单)。
3.文件的发布和实施:文件经公司领导审核并由总经理批准后予以正式发布。
三、运行阶段
1.监视和测量;
2.内审员培训;
3.内部审核;
4.管理评审。
四、申请认证
向认证机构申请ISO27001审核认证。
企业做ISO 27001认证有什么好处与作用?
1)预防信息安全事故,保证组织业务的连续性,使组织的重要信息资产受到与其价值相符的保护,包括防范:
* 重要的商业秘密信息的泄漏、丢失、篡改和不可用;
* 重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断;
2)节省费用。一个好的ISMS不仅可通过避免安全事故而使组织节省费用,而且也能帮助组织合理筹划信息安全费用支出,包括:
* 依据信息资产的风险级别,安排安全控制措施的投资优先级;
* 对于可接受的信息资产的风险,不投资或减少投资;
3)保持组织良好的竞争力和成功运作的状态,提高在公众中的形象和声誉,最大限度的增加投资回报和商业机会;
4) 增强客户、合作伙伴等相关方的信任和信心。
5) 降低法律风险;
6) 强化员工的信息安全意识、规范组织的信息安全行为。
免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。
上一篇:什么是理财?普通人如何理财?
下一篇:最后一页