客服热线:
手机版
二维码
ISO27001信息安全管理体系认证基本介绍
1. ISO27001总览
ISO27001描述了怎样建立,维护和持续改进ISMS。 ISO27001是最流行和最常用的信息安全标准之一,许多组织已针对它进行认证,目的是向顾客,业务合作伙伴和监管机构展示足够的安全性。 ISO27001标准的最新版本于2013年发布(ISO/IEC 27001:2013)。
符合ISO27001要求的组织能够在成功完成针对标准的审核后,由经过ISO27001认证的认证公司进行ISO27001认证。 根据ISO的数据,2016年,全球有33,000多个组织持有ISO27001认证。
ISMS是组织用于管理和保护信息的机密性,完整性和可用性('CIA')的系统方法。 更具体地说,ISMS包含为实现该目标而采用的政策,程序,准则,资源,活动和控制。
例如,假如隐私团队的目标是实施“设计中的隐私(将隐私主动嵌入到信息技术,网络基础结构和业务实践的设计规范中),那么ISMS团队的目标将是实现相同目标事物,可是具有安全性,即实施“设计安全性。
那么,有效的ISMS自然就必须熟练的决策,成文的政策和程序,意识培训,明确的职责和资产所有权,风险评估和风险处理计划,事件响应,供应商管理,内部审核等。
2. 安全与预防
ISO27001信息安全管理体系提供了1个路线图,用于构建全面的ISMS并仅基于风险评估实施对组织有意义的那些安全控制。 该路线图包含明确可能影响安全性的内部和外部问题(包含考虑第三方利益)以明确范围和上下文,其次创建匹配的策略和过程。
具体而言,ISO27001信息安全管理体系的第4条要求您记录影响ISMS的内部和外部因素,以及与ISMS相关的任何相关方的需求和期望(包含要求),并考虑到这些因素明确ISMS的范围(即界限和适用性)时。 最后,第4章要求将ISMS正式记录下来并进行持续改进。
ISO27001信息安全管理体系的第5条涉及领导力和责任-确保组织范围内对信息安全的承诺,在整个组织中传达文件化的信息安全政策,并在信息安全方面具有明确的角色和职责。
ISO27001信息安全管理体系的条款6是关于计划的,包含创建用于识别,评估和处理信息安全风险和改进机会的文档化程序,以及识别信息安全目标并制定有关实现这些目标的详细计划的过程。 风险处理计划和ISMS目标应为“ SMART-特定,可衡量,可实现,相关和有时间限制。
ISO27001信息安全管理体系的第7章是关于对ISMS的支持。 它要求您分配实现目标并确保ISMS持续改进的必要资源,并确保范围内的人员具有必要水平的信息安全教育,培训和经验。 它还要求您确保组织范围内对信息安全策略和过程的意识,以及个人在安全方面的角色和责任(例如,信息安全是所有人员的责任)。 最后,第7条要求提供文件化的政策和程序,以处理有关ISMS的内部和外部通信,以及文件化的政策和程序,以确保对新的或更新的ISMS文件进行适当的审查和批准,并进行适当的控制和管理。文件处理。
ISO27001信息安全管理体系的第8条主要涉及第6条中规定的计划的实施。它要求您按计划的时间间隔或计划或进行重大更改时进行风险评估,并记录结果。 随后,它要求您在风险评估之后创建并执行风险处理计划,并记录处理结果。 最后,第8条要求您创建1个“适用性声明,以记录被认为适用于ISMS的ISO/IEC 27001:2013 Annex A附录。
ISO27001信息安全管理体系的第9条要求您根据ISO/IEC 27001:2013标准(包含第4-10条和适用的附件A附录)对ISMS进行内部审核,并按计划的时间间隔对ISMS进行管理评审。
最后,第10条要求制定成文的纠正措施程序,以解决ISO/IEC 27001:2013标准中的“不符合项。 通常在审核过程中发现不符合项。 在外部认证或监督审核过程中发现的不合格项通常伴随有完成纠正措施的期限,在某些情况下,假如无法纠正不合格项,则可能导致认证丢失。
2. 问责制和记录保存
ISO27001第8条规定的目标是为组织资产制定和维护适当的保障措施。 具体而言,第8.1条要求组织识别并清楚标记重要数据资产。 此清单协议包含对所有权的明明确义和数据可接受用途的要求。 条款8.2继续要求基于这些敏感度级别的数据敏感度分类,标签和访问控制。 第9条还包含有关创建和维护访问控制策略的相关指南。
2. 供应商管理
ISO27001将供应商的监督和控制作为适当的数据安全协议的关键组成部分。 第8条要求组织明确外包了什么处理操作,并确保这些过程是安全程序的受控部分。
ISO27001信息安全管理体系的第9条是第8条的基础,要求组织审查,记录和维护对安全计划的监督,其中可能包含计划的风险评估和审核,以确认顾客数据是安全的。
ISO27001信息安全管理体系的在控制“供应商关系的控制A.15和控制遵守合同要求的A.18.1中能够找到其他更具体的指导。 附录A.15解决了组织容易受到供应商(“供应商)对个人数据的访问的安全问题。 它要求通过限制数据访问和通过订立协议来施加安全责任和分配责任来减轻风险。
附录A.18设想遵守协议,其中另一只鞋在脚上,组织充当供应商,要求遵守顾客的安全要求。
2. 事件和违规
ISO27001要求机制既能够快速识别安全事件,又能够通过必要的既定渠道进行报告。 此附录(A.16)旨在确保采用一致有效的方法来管理信息安全事件,包含有关安全事件和弱点的通信。
符合ISO27001的响应计划的基本要素是清晰的命令链,明确的标识和报告程序以及员工和承包商对任何异常活动或事件的报告。 与所有ISO27001要求一样,文档和持续更新是关键。
ISO27001信息安全管理体系认证流程
ISO27001信息安全管理体系认证流程
企业建立的信息安全管理体系要申请认证,必须满足两个基本条件:
(1)遵守中国的信息安全法律、法规和标准;
(2)ISO27001体系试运行满3个月
在满足上述两个重要前提下,ISO27001信息安全管理体系认证流程大致上分为以下4个阶段:
一、受理申请方的申请:
申请认证的组织首先要综合考虑各认证公司的权威性、信誉和费用等方面的因素,其次选择合适的认证公司,并与其取得联络,提出信息安全管理体系认证申请,认证公司会提供相应的认证申请书给拟申请认证的组织填写。
认证公司接到申请方的正式申请书之后,将对申请方的申请文件进行初步的审查,假如符合申请要求,与其签订管理体系审核/申请注册合同,明确受理其申请。
二、信息安全管理体系审核:
在整个认证过程中,对申请方的信息安全管理体系的审核是最关键的环节。认证公司正式受理申请方的申请之后,迅速组成1个审核小组,并任命1个审核组长,审核组中至少有一名具有该审核范围专业项目种类的专业审核人员或技术专家,协助审核组进行审核工作。
审核工作大致分为3步:
1.文件审核:
对申请方提交的准备文件进行详细的审查,这是实施现场审核基础工作。申请方必须编写好其信息安全管理体系文件,在审核过程中,若发现申请方的ISMS手册不符合要求,则由其采取有效纠正措施直至符合要求。认证公司对这些文件进行认真审核之后,假如认为合格,就准备进入现场审核阶段。
2.现场审核:
在完成对申请方的文件审查和预审基础上,审核组长要制定1个审核计划,告知申请方并征求申请方的意见,申请方接到审核计划之后,假如对审核计划的某些条款或安排有不同意见,立即通知审核组长或认证公司,并在现场审核前解决好这些问题。解决好这些问题之后,审核组正式实施现场审核,主要目的就是通过对申请方进行现场实地考察,验证ISMS手册、程序文件和作业指导书等一系列文件的实际执行情况,从而来评价该信息安全管理体系运行的有效性,判别申请方建立的信息安全管理体系和ISO27001标准是否相符合。
在实施现场审核过程中,审核小组每天都要进行内部探讨,由审核组长主持,全体审核员参加,对本次审核的结构进行全面的评定,明确现场审核中发现的什么不符合情况需写成不符合项报告以及严重程度。
3.跟踪审核:
申请方按照审核计划与认证公司商定时间纠正发现的不符合项,纠正措施完成之后递交认证公司。认证公司收到资料后,组织原来的审核小组的成员对纠正措施的效果进行跟踪审核。假如审核结果表明被审核方报来的资料详细确实,则能够进入申请注册阶段的工作。
三、报批并颁发证书
根据申请注册资料上报清单的要求,审核组长对上报资料进行整理并填写申请注册推荐表,该表最后上交认证公司进行复审,假如合格,认证公司将编制并发放证书,将该申请方列入获证目录,申请方能够通过各种媒介来宣传,并能够宣传资料商加贴申请注册标识。
四、监督检查及复评换证
在证书有效期限内,认证公司对获证企业进行监督检查,以保证该信息安全管理体系符合ISO27001标准要求,并能够切实、有效地运行。证书有效期满后,或者企业的认证范围、模式、机构名称等发生重大转变后,该认证公司受理企业的换证申请,以保证企业不断改进和完善其信息安全管理体系。
今日通过对《ISO27001信息安全管理体系认证流程》的学习,相信你对认证有更好的认识。假如要办理相关认证,请联络我们吧。
