客服热线:
手机版
二维码
ISO27000体系建立和运行步骤
ISO27000体系建立和运行步骤
ISO27001标准要求组织建立并保持1个文件化的信息安全管理体系,其中应阐述必须保护的资产、组织风险管理的渠道、控制目标及控制方式和必须的保证程度。
不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体情况,采取不同的步骤和方法。但总体而言,建立信息安全管理体系通常要经过下列4个基本步骤:信息安全管理体系的策划与准备;信息安全管理体系文件的编制;信息安全管理体系运行;信息安全管理体系审核与评审。
假如考虑认证过程其详细的步骤如下:
1.现场诊断;
2.明确信息安全管理体系的方针、目标;
3.明确信息安全管理体系的范围,根据组织的特性、地理位置、资产和技术来明确界限;
4.对管理层进行信息安全管理体系基本知识培训;
5.信息安全体系内部审核员培训;
6.建立信息安全管理组织机构;
7.实施信息资产评估和分类,识别资产所受到的威胁、薄弱环节和对组织的影响,并明确风险程度;
8.根据组织的信息安全方针和必须的保证程度通过风险评估来明确应实施管理的风险,明确风险控制手段;
9.制定信息安全管理手册和各类必要的控制程序 ;
10.制定适用性声明;
11.制定商业可持续性发展计划;
12.审核文件、发布实施;
13.体系运行,有效的实施选定的控制目标和控制方式;
14.内部审核;
15.外部第一阶段认证审核;
16.外部第二阶段认证审核;
17.颁发证书;
18.体系持续运行/年度监督审核;
19.复评审核(证书3年有效)。
至于应采取什么控制方式则必须周密计划,并注意控制细节。信息安全管理必须组织中的所有雇员的参与,例如为了防止组织外的第三方人员非法进入组织的办公区域获取组织的技术机密,除物理控制外,还必须组织全体人员参与,加强控制。除此之外还必须供应商,顾客或股东的参与,必须组织以外的专家建议。信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。
当前,越来越多的组织以及信息系统和网络面临着包含计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁,诸如计算机病毒、计算机入侵、DoS攻击等手段造成的信息灾难已变得更加普遍,有计划而不易被察觉。组织对信息系统和信息服务的依赖代表着更易受到安全威胁的破坏,公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。
许多信息系统本身就不是按照安全系统的要求来设计的,因此仅依靠技术手段来实现信息安全有其局限性,因此信息安全的实现必须得到管理和程序控制的适当支持。明确应采取什么控制方式则必须周密计划,并注意细节。信息安全管理至少必须组织中的所有雇员的参与,除此之外还必须供应商、顾客或股东的参与和信息安全的专家建议。
ISO27000体系剖析
ISO27000体系剖析
第一部分:管理规范(Specification)-IT服务管理标准介绍
ISO/IEC 20000-1:2005 定义了服务提供者交付管理服务的需求。它可应用于以下情况:
1. 被向外提供服务的组织使用;
2. 被要求其所有外包服务供应商在同一供应链中一致工作的组织使用;
3. 被测度其IT服务管理的服务供应商使用;
4. 作为正式认证前的评估基础;
5. 被必须证明其有能力提供顾客所需服务的组织使用;
6. 旨在通过管理和提升服务质量流程的有效实施来提升服务组织使用。
ISO20000-1:2005促进了组织采用流程整合的方法,有效地交付管理服务以满足业务和顾客的需求。对于期
望高效执行IT服务管理的组织而言,必须识别并管理大量的相关活动。服务管理流程的整合实施,为持续
控制和改善IT服务提供了可能。
组织必须以较低的成本获得不断更新的基础设施,以满足他们的业务需求。随着服务外包日益普及,技术
选择日益多样的今日,服务提供者必须不断努力来维持高水平的顾客服务。由于被动响应,他们没有更多
的时间进行规划、培训、检查、研究以及与顾客共同工作。结果导致结构化、主动的服务举措难以得到实
施。而顾客要求服务提供者不断提高其服务质量、降低成本、增加灵活性并对顾客的需求做出更快地响应
。
相反,有效的服务管理能够交付高水平的顾客服务和顾客满意度。服务和服务管理对于组织创造价值并且
符合成本效益是至关重要的。ISO/IEC 20000标准能够使服务提供者了解怎样提高他们交付给内部或外部客
户的服务质量。
ISO/IEC 20000标准描绘了IT服务管理标准与最佳实践之间的区别,这些流程与组织的构成或大小以及组织
的名称和结构无关。ISO/IEC 20000标准适用于大型或小型的服务提供者。服务管理流程将以有限的资源水
平为顾客交付最能满足其需求的服务。如:专业的、符合成本效益的、风险受控的服务。
第二部分:实施准则(Code of practiCE)-实践指导
ISO/IEC 20000-2:2005为审计人员提供行业一致认同的指南,并且为服务提供者规划服务改善或通过
ISO/IEC 20000-1:2005审核提供指导。 ISO/IEC 20000-2:2005基于已被替代的BS 15000-2的。
实践准则描述了在BS 15000-1中服务管理流程的最佳实践。为以最小成本满足业务需求,顾客对使用先进
设施会不断提出要求,服务提供就越发显得重要了。人们已经意识到服务和服务管理对于协助组织开源节
流的重要性。
ISO/IEC 20000-1是服务管理规范,在阅读时应结合ISO/IEC 20000-2。
ISO/IEC 20000系列能使组织了解怎样从内部和外部改进其服务质量。
由于组织对服务支持的日益依赖,以及技术多样性的现状,服务提供方有可能通过努力保持顾客服务的高
水准。服务供应方往往被动工作,很少花时间规划、培训、检查、调查并与顾客一同工作,其结果必然导
致失败。其失败就源于没有采用系统、主动的工作方式。
服务供应商也常常被要求提高服务质量,降低成本、采用更大灵活性和更快反应速度。有效的服务管理能
提供高水准的顾客服务和较高的顾客满意度
ISO/IEC 20000系列对流程的最佳实践进行了总结,可适用于不同规模、类型和结构的组织。
ISO/IEC 20000系列适用于大型或小型组织,服务管理流程最佳实践要求并不会由于组织形式不同而被改变
。
ISO/IEC 20000-2描述了IT服务管理流程质量标准。这些服务管理流程为组织在一定环境中开展业务提供了
最佳实践指南,包含提供专业服务、降低成本、调查和控制风险。
在同一流程中,在流程之间和工作团队之间使用各种术语往往会让1个刚接触服务管理的管理者不知所措
。对术语的一知半解会阻碍建立有效的组织流程。因此了解ISO/IEC 20000术语非常重要。
ISO/IEC 20000-2推荐服务管理者采用一致的术语和统一的方法进行服务管理,这能够为改进服务交付基础
,并有助于服务提供者建立1个服务管理框架。
ISO/IEC 20000-2为审计人员提供指南,并可为组织规划服务的改进提供协助,以便组织通过ISO/IEC
20000-1认证。
