贵阳ISO27001认证体系实施效果分析,贵阳ISO27001认证信息安全产品采购及信息系统的运行维护-企业易

贵阳ISO27001认证体系实施效果分析,贵阳ISO27001认证信息安全产品采购及信息系统的运行维护

2024-06-28 13:39:25

很多企业对贵阳ISO27001认证体系实施效果分析,贵阳ISO27001认证信息安全产品采购及信息系统的运行维护都不是很了解,今天企业易就为大家简单介绍一下贵阳ISO27001认证体系实施效果分析,贵阳ISO27001认证信息安全产品采购及信息系统的运行维护,希望大家能对贵阳ISO27001认证体系实施效果分析,贵阳ISO27001认证信息安全产品采购及信息系统的运行维护有一个深入的了解.如果对贵阳ISO27001认证体系实施效果分析,贵阳ISO27001认证信息安全产品采购及信息系统的运行维护还有疑问,可查看更多内容.

贵阳ISO27001认证体系实施效果分析

1. 通过建立信息安全管理体系ISMS，由于构建了大量的流程文档，为组织在开展各项与安全相关的活动中提供了明确的目标和操作指引；

2. 通过建立信息安全管理体系ISMS，进1步明确分工，使安全风险和责任意识从传统的IT 部门扩展到组织每个员工，提高了安全管理的整体效率；

3. 通过建立信息安全管理体系ISMS，组织的IT部门能够有效控制成本，提高信息安全水平和用户的满意度；

4. 通过构建静态的组织保障体系和实施动态的对整个体系进行调整、改善的PDCA过程，使组织安全管理从“静态、被动、散乱的管理向“动态、主动、系统的管理转变；

5. 通过把ISO27001的要求引入业务流程，使现有的业务运作更加符合安全规范，减少了流程和操作过程带来的安全风险；此外，通过完善信息资产管理，增强物理环境安全、网络安全、操作安全、定期ISMS进行审查，能够极大地提高组织对内部威胁、外部威胁的风险防范能力；

6. 实施信息安全管理体系ISMS为今后通过ISO27001认证做好了铺垫，组织通过国际安全风险管理认证，有助于提高顾客的信任度，从而巩固在行业领域的专业形象和市场号召力。

实施ISO27001的经验总结

安全策略、目标的设置应符合业务目标；完善而平衡的测量体系将有助于信息安全管理体系ISMS的持续改进；由于ISMS的实施可能会涉及到组织结构和人员职责的变动，实施过程中要能够获得高管的支持与承诺、尽量保持原有组织文化、立足现在的组织分工与人员结构进行部署，并深化教育，避免由于强制推行信息安全管理体系ISMS引起实施阻力；风险是永远存在的，重点是组织是否有经过详尽的风险分析与评估，在明确风险后找到并采取对组织自身合适的技术手段、管理手段以控制风险让顾客方能承受。组织面对的风险环境会转变；再者，信息安全管理体系ISMS的建立和完善本身是一整套管理规范的实施、多个流程的运作，并结合技术手段进行配合的过程。因此信息安全的控制目标、手段需持续改进。ISMS的建立是确保信息系统安全的起点，因此，信息安全管理体系ISMS的建立和实施是1个循序渐进的过程，不可能一蹴而就。

贵阳ISO27001认证信息安全产品采购及信息系统的运行维护

在组织实施信息安全管理体系中，信息安全产品与制造业产品最大不同是前者“看不见。大至信息系统，小至杀毒光盘等往往是组织向相关单位定制或通过购买而获取的，且其极大部分均是组织委托外包方提供后续运行维护服务。故若组织未明确采购及信息系统运行维护要求，则可能直接导致信息安全产品不能满足规定使用要求或已知预期用途要求，对组织整个业务运作过程带来威胁。

ISO27001:2005、GB/T22080-2008《信息管理体系要求》虽未对信息资产产品采购或由委托外包方提供运行维护服务作出明确要求，但在审核过程中，可参照(GB/T19001-2008《质量管理体系要求》标准的要求。

1、信息安全产品采购

（1）产品与服务提供准入要求。

ISO27001的认证审核员首先应熟知政府、行政主管机关最新发布的信息安全产品法律、法规以及相关产品标准要求，特别是资质、许可和涉密等方面的市场准入要求。其次，应把组织正在使用的信息安全产品与主管机构发布的最新测评申请注册公告进行对比，包含涉密资质、等级，以及产品测评、系统评估、服务资质测评和人员申请注册等。除此之外，还应关注其图形界面与文档资料是否均为中文，且具备自主知识产权、专利等。

（2）采购信息。

信息安全产品覆盖面广、类型多、门类广，主要有入侵检测系统、防火墙、VPN、入侵防御、信息过滤、网络通讯安全审计、网站恢复产品、文件加密产品、访问控制产品检验、远程主机监测产品、非授权外联监测、反垃圾邮件、数据库扫描、主机安全漏洞扫描、曰志分析、安全管理平台、WEB过滤防护、数据库安全审计、网际恶意代码控制、反垃圾邮件顾客端产品、本地数据备份与恢复、主机文件监测和自适应网络主动防御等。审核时，应关注上述信息安全产品采购合同和相关技术文件中，对于采购信息充分性与适宜性证据的收集。

（3）验证信息安全产品是否满足釆购要求。

熟知采购准入要求，收集充分采购信息，其目的是有效验证信息安全产品能否满足采购要求。由于信息安全产品技术含量高、版本更新快，且涉及知识产权、专利等，故审核时，不妨采取多种形式，验证重要信息安全采购产品是否满足规定的采购要求。

2、关注信息安全产品运行维护

信息安全产品安装、调试及投入使用后，必须进行动态运行维护。审核时，应对防止业务

活动中断，以及对保护关键业务过程免受信息系统重大失误或灾难影响的保障能力作出评价。

尤其需关注外包方应提供如下内容，包含:设备原厂服务承诺；设备原厂服务授权；所选定的运行维护服务模式；定期对组织网络进行安全巡检，同时有巡检方案及记录；系统检测报告及详尽的分析报告；技术升级和支持方案;现场原厂产品技术培训和根据必须动态再培训的证据等。