ISO27001信息安全管理体系咨询流程,ISO27001信息安全管理系统标准

ISO27001信息安全管理体系咨询流程

ISO27001信息安全管理体系咨询流程

信息安全管理体系标准(ISO27001)可有效保护信息资源，保护信息化进程健康、有序、可持续发展。引入ISO27001信息安全管理体系就能够协调各个方面信息管理，从而使管理更为有效。由于ISO27001标准比较专业，建议企业寻求专业的管理咨询公司的协助。ISO27001的咨询工作通常包含以下主要步骤和流程：

(一)项目准备阶段

(1)项目资源准备

(2)项目计划编写

(3)项目工具准备

(4)项目启动大会

(5)标准知识培训

(二)现状调研

(1)体系文件评审

(2)现场访谈调查

(3)安全技术评估

(4)现状差距分析

(5)现状调研总结

(三)风险评估

(1)评估方法培训

(2)信息资产识别

(3)安全风险分析

(4)安全风险处置

(5)风险评估总结

(四)体系建设

(1)体系建立设计

(2)文件架构设计

(3)文件编写培训

(4)ISMS文件编写

(5)ISMS文件评审

(6)ISMS文件发布

(五)体系运行

(1)体系运行检查

(2)运行工具培训

(3)内审人员培训

(4)进行内部审核

(5)有效性测量

(6)管理评审

(7)持续改进

(六)认证审核

(1)递交认证资料

(2)迎审工作培训

(3)体系文件审核

(4)实施现场审核

(5)审核问题整改

(6)整改合格获证

(七)体系维护

(1)体系日常维护

(2)后续持续改进

今日通过对《ISO27001信息安全管理体系咨询流程》的学习，相信你对认证有更好的认识。假如要办理相关认证，请联络我们吧。

ISO27001信息安全管理系统标准

ISO27001信息安全管理系统标准

在日趋网络化的世界里，「信息」对建立竞争优势起着举足轻重的作用。但它同时也是柄双刃剑，当信息被意外或刻意的传给恶意的接收者时，同样的信息也可能导致一所机构倒闭。在当今的信息时代，科技无疑为我们解决了不少问题。

国际标准组织(ISO)应此类需求，制定了ISO27001:2005标准，为怎样建立、推行、维持及改善信息安全管理系统提供协助。信息安全管理系统(ISMS)是高层管理人员用以监察及控制信息安全、减少商业风险和确保保安系统持续符合企业、顾客及法律要求的1个体系。ISO/IEC 27001:2005能协助机构保护专利信息，同时也为制定统一的机构保安标准搭建了1个平台，更有助于提升安全管理的实务表现和增强机构间商业往来的信心与信任。

什么机构可采用ISO/IEC 27001:2005标准？

任何使用内部或外部电脑系统、拥有机密资料及/或依靠信息系统进行商业活动地机构，均可采用ISO/IEC 27001:2005标准。简单的说，也就是那些必须处理信息、并认识到信息保护重要性的机构。

ISO/IEC 27001的控制目标及措施

ISO/IEC 27001制定的宗旨是确保机构信息的机密性、完整性及可用性，为达成上述宗旨，该标准共提出了39个控制目标及134项控制措施，推行ISO/IEC 27001标准的机构可在其中选择适用于其业务的控制措施，同时也可增加其它的控制措施。而与ISO/IEC 27001相辅的ISO 17799:2005标准是信息安全管理的实务守则，为怎样推行控制措施提供指引。

ISO/ IEC 27001:2005的架构

ISO/ IEC 27001:2005标准在2005年10月公布，同时取缔了多国采纳的英国标准BS 7799-2:2002 ，但新旧标准的要求并无太大分别。ISO / IEC 27001:2005标准以Edward Deming博士提出的“计划-实施-核查-采取行动”循环周期作为制定蓝图，以实现持续改善的目标。

I.计划

计划最重要的部分是设定涵盖的范畴及区域，它能够是：

覆盖整个组织并涉及多个地点的办事处及/或厂房

只涉及1个办事处或厂房

只涉及1个多元化服务供应商的其中1个业务

计划的主要工作包含信息安全管理系统、风险评估、风险管理、风险处理措施和适用性报告。

信息安全管理系统是运营风险整体管理系统的其中一部分，目的是建立、实施、推行、检讨、维持及改善信息安全。

机构在信息的机密性、完整性和可用性三方面的目标各是什么呢？什么程度的风险是可接受的？是否存在任何限制，如法律、法规或机构内部程序？信息安全政策应该是一份由行政总监签署认可的文件。控制措施应采取由上至下的推行方式。

风险评估 根据必须保护的信息和可接受的风险程度来识别真正的风险，并就这些风险出现的可能性与其影响的严重性作出评估，从而辨别出机构必须管理的风险，即下图红色部分内的风险。

风险管理 / 风险处理

完成风险评估后，便要决定怎样处理这些风险。

适用性报告 (Statement of Applicability)

识别出所有的保安措施，指出什么对机构而言是适用或不适用的，并说明原因。必须针对风险评估的结果来选择控制措施。

II.实施

选定了控制措施后，便需落实推行，同时也需制定程序以确保能够迅速察觉到事故的发生并作出回应，并确保所有员工都了解信息安全的重要性，且确保其接受了适当的培训，及有能力执行他们负责的保安任务。除此之外，还要妥善管理所需的资源。

III.核查

核查的目的是确保控制措施都已推行，并能达到既定的目标。尽管有多种可行的核查方法，但仅有内部审核与管理检讨是强制性的要求。

IV.采取行动

最后便需对核查结果采取适当的行动，相关的行动能够是：

修正

预防

改善

总结

ISO/IEC 27001:2005标准为所有行业的机构都提供了一套业务工具，协助其避免信息保安的失误，从而降低了相应的风险。正式推行ISO/IEC 27001:2005并取得有关认证的机构将受益匪浅，以下列举其中数项：

由于按照国际标准实施适当的控制措施，机构便能自行将信息保安的失误率降至最少

以系统化的方法处理符合法律的问题，从而减低所需承担的法律责任风险

以系统化的方法计划及管理运营的持续性

增加顾客、合作伙伴和相关人士对机构的信心

提升营运收入，并为机构带来更多商机

今日通过对《ISO27001信息安全管理系统标准》的学习，相信你对认证有更好的认识。假如要办理相关认证，请联络我们吧。