ISO27001:2013认证咨询过程,ISO27001背景:

ISO27001:2013认证咨询过程

ISO27001：2013认证咨询过程

ISO27001：2013认证分为4个阶段：实施安全风险评估、规划体系建设方案、建立信息安全管理体系、体系运行及改进。也符合信息安全管理循环PDCA(Plan-Do-Check-Action)模型及ISO27001要求，即有效地保护企业信息系统的安全，确保信息安全的持续发展。1、确立范围

首先是确立项目范围，从机构层次及系统层次两个维度进行范围的区划。从机构层次上，能够考虑内部机构：必须覆盖公司的各个部门，其包含总部、事业部、制造本部、技术本部等；外部机构：则包含公司信息系统相连的外部机构，包含供应商、中间业务合作伙伴、以及他合作伙伴等。

从系统层次上，可按照物理环境：即支撑信息系统的场所、所处的周边环境以及场所内保障计算机系统正常运行的设施。包含机房环境、门禁、监控等；网络系统：构成信息系统网络传输环境的线路介质，设备和软件；服务器平台系统：支撑所有信息系统的服务器、网络设备、顾客机以及操作系统、数据库、中间件和Web系统等软件平台系统；应用系统：支撑业务、办公和管理应用的应用系统；数据：整个信息系统中传输以及存储的数据；安全管理：包含安全策略、规章制度、人员组织、开发安全、项目安全管理和系统管理人员在日常运维过程中的安全合规、安全审计等。

2、安全风险评估

企业信息安全是指保障企业业务系统不被非法访问、利用和篡改，为企业员工提供安全、可信的服务，保证信息系统的可用性、完整性和保密性。

本次进行的安全评估，主要包含两方面的内容：

2.1、企业安全管理类的评估

通过企业的安全控制现状调查、访谈、文档研读和ISO27001的最佳实践比对，以及在行业的经验上进行“差距分析，检查企业在安全控制层面上存在的弱点，从而为安全措施的选择提供依据。

评估内容包含ISO27001所涵盖的与信息安全管理体系相关的11个方面，包含信息安全策略、安全组织、资产分类与控制、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发与维护、安全事件管理、业务连续性管理、符合性。

2.2、企业安全技术类评估

基于资产安全等级的分类，通过对信息设备进行的安全扫描、安全设备的配置，检查分析现有网络设备、服务器系统、终端、网络安全架构的安全现状和存在的弱点，为安全加固提供依据。

针对企业具有代表性的关键应用进行安全评估。关键应用的评估方式采用渗透测试的方法，在应用评估中将对应用系统的威胁、弱点进行识别，分析其和应用系统的安全目标之间的差距，为后期改造提供依据。

提到安全评估，一定要有方法论。我们以ISO27001为核心，并借鉴国际常用的几种评估模型的优点，同时结合企业自身的特点，建立风险评估模型：

在风险评估模型中，主要包含信息资产、弱点、威胁和风险4个要素。每个要素有各自的属性，信息资产的属性是资产价值，弱点的属性是弱点在现有控制措施的保护下，被威胁利用的可能性以及被威胁利用后对资产带来影响的严重程度，威胁的属性是威胁发生的可能性以及危害的严重程度，风险的属性是风险级别的高低。风险评估采用定性的风险评估方法，通过分级别的方式进行赋值。

3、规划体系建设方案

企业信息安全问题根源分布在技术、人员和管理等多个层面，须统一规划并建立企业信息安全体系，并最终落实到管理措施和技术措施，才能确保信息安全。

规划体系建设方案是在风险评估的基础上，对企业中存在的安全风险提出安全建议，增强系统的安全性和抗攻击性。

在未来1-2年内通过信息安全体系制的建立与实施，建立安全组织，技术上进行安全审计、内外网隔离的改造、安全产品的部署，实现以流程为导向的转型。在未来的 3-5 年内，通过完善的信息安全体系和相应的物理环境改造和业务连续性项目的建设，将企业建设成为1个注重管理，预防为主，防治结合的先进型企业。

4、企业信息安全体系建设

深圳ISO27001：2013认证体系建立在信息安全模型与企业信息化的基础上，建立信息安全管理体系核心能够更好的发挥六方面的能力：即预警（Warn）、保护（Protect）、检测（Detect）、反应（Response）、恢复（Recover）和反击（Counter-attack），体系应该兼顾攘外和安内的功能。

安全体系的建设一是涉及安全管理规范建设完善；二是涉及到信息安全技术。首先，针对安全管理规范涉及的主要内容包含企业信息系统的总体安全方针、安全技术策略和安全管理策略等。安全总体方针涉及安全组织机构、安全管理规范、人员安全管理、安全运行维护等方面的安全制度。安全技术策略涉及信息域的区划、业务应用的安全等级、安全保护思路、说以及进1步的统一管理、系统分级、网络互联、容灾备份、集中监控等方面的要求。

其次，信息安全技术按其所在的信息系统层次可区划为物理安全技术、网络安全技术、系统安全技术、应用安全技术，以及安全基础设施平台；同时按照安全技术所提供的功能又可区划为预防保护类、检测跟踪类和响应恢复类三大类技术。结合主流的安全技术以及未来信息系统发展的要求，规划信息安全技术包含：

预防保护类

检测跟踪类

响应恢复类

安全基础设施

PKI

审计系统

备份系统

防病毒

垃圾邮件防护系统

网络

网络域

网络入侵检测

冗余设计

边界网络包过滤技术

网络安全扫描

防火墙

网络安全审计系统

网络设备安全强化

上网行为管理

SSL VPN接入

集中式网络设备访问管理

internet 内容过滤

系统

主机访问控制

主机入侵检测

冗余设计

主机安全强化

主机安全扫描

桌面安全管理

应用

数据库、应用安全强化

数据安全管理

用户帐号统一管理

安全符合性检查

单点登陆管理机制

网页完整性检查

5、体系运行及改进

ISO27001：2013认证体系文件编制完成以后，由公司企划部门组织按照文件的控制要求进行审核。结合公司实际，在ISO27001：2013认证体系文件编制阶段，将该标准与公司的现有其他体系，如质量、环境保护等体系文件，改归并的归并。该修订审核的再继续修订审核。最终历经几个月的努力，批准并发布实施了信息安全管理系统的文档发布。至此，ISO27001：2013认证体系将进入运行阶段。

ISO27001背景:

ISO27001背景：

信息作为组织的重要资产，必须得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、顾客资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包含直接损失、间接损失和法律损失：

直接损失

丢失订单，减少直接收入，损失生产率；

间接损失

恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市值或政治声誉；

法律损失

法律、法规的制裁，带来相关联的诉讼或追索等。

因此，在享用现代信息系统带来的快捷、方便的同时，怎样充分防范信息的损坏和泄露，已成为当前企业迫切必须解决的问题。

俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理规范、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是1个重要的问题。因此，我们必须1个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。

ISO27001标准是为了与其它管理标准，例如ISO9000和ISO14001等相互兼容而设计的，这一标准中的编号系统和文件管理需求的设计初衷，就是为了提供良好的兼容性，使得组织能够建立起这样一套管理体系：能够在最大程度上融入这个组织正在使用的其它任何管理体系。通常而言，组织通常会使用为其ISO9000认证或者其它管理体系认证提供认证服务的机构，来提供ISO27001认证服务。正是由于这个缘故，在ISMS体系建立的过程中，质量管理的经验举足轻重。

可是有一点必须注意，1个组织假如没有事先拥有并使用任何形式的管理体系，并不代表着该组织不能进行ISO27001认证。这种情况下，该组织就应当从经济利益考虑，选择1个合适的管理体系的认证公司来提供认证服务。认证公司必须得到1个国家鉴定机构的委托授权，才能为认证组织提供认证服务，并发放认证证书。大多数国家都有自己的国家鉴定机构（例如：英国UKAS），任何获得该机构授权进行ISMS认证的机构均记录在案。

昆山诚伟公司拥有大批一流而稳定的专业咨询师队伍及配套服务人员，技术顾问力量雄厚，所有顾问师均是从各行各业的工作中成长起来的，具有丰富的现代企业品质管理实践经验并全部拥有国内或国际申请注册审核员资格，其中专职顾问师20多名，有多位曾在国外知名认证公司中做过主任审核员。在辅导过程中，诚伟将严格按《顾问师守则》进行管理，以保障顾问工作的顺当开展。

今日通过对《ISO27001背景：》的学习，相信你对认证有更好的认识。假如要办理相关认证，请联络我们吧。