企业怎样建立ISO27001信息安全管理体系,企业怎样建立和实施ISO22301业务连续性管理体系

企业怎样建立ISO27001信息安全管理体系

企业怎样建立ISO27001信息安全管理体系? ISO27001信息安全管理体系，采用PDCA循环模型，分为4个阶段：安全风险评估、规划体系建设方案(Plan)，建立并实施信息安全管理体系(Do)，体系运行绩效考评(Check)，持续改进(Action)。

军师重点说说企业在应对ISO27001认证时应该怎么建设符合标准要求的信息安全管理系统，重点从5个方面来进行：

01、确立管理系统使用的范围

必须覆盖到公司的每1个职能部门，或者覆盖公司信息系统相连的外部机构，例如合作伙伴、供应商等。同时从系统层次考虑覆盖网络系统、服务器平台系统、数据、安全管理、应用系统以及支撑信息系统的场所和所处的周边环境以及场所内，确保计算机系统正常运营的设施设备等。

02、安全风险评估

企业技术类的评估和主要包含企业安全管理类的评估。

安全管理评估的内容包含与ISO27001信息安全管理体系相关的11个方面，包含信息安全政策、安全组织、资产分类与控制、人员安全、物理与环境安全、通信与运行管理、访问控制等，系统开发和维护、安全事件管理、业务连续性管理和合规性。

安全技术评估是基于资产安全等级的分类。通过对信息设备的安全扫描和安全设备的配置，对现有网络设备、服务器系统、终端和网络安全架构的安全状况和薄弱环节进行检查和分析，为安全加固提供依据。

03、规划系统建设方案

规划系统建设方案在风险评估的基础上，针对企业存在的安全风险提出安全建议，提高系统的安全性和抗攻击能力。

04、信息安全体系建设与运行

系统建设以信息安全模式和企业信息化为基础，兼顾内外部安全功能。规划信息安全技术能够从安全基础设施、网络、系统和应用4个方面进行规划。

05、改进

ISO27001认证标准信息安全管理体系文件编制完成后，按文件控制的要求进行评审和批准，有效的体系文件下发到各部门，保持体系运行过程中的记录，定期进行内部审核和管理评审，对不符合或潜在不符合项采取纠正和预防措施，不断完善信息安全管理体系。

企业怎样建立和实施ISO22301业务连续性管理体系

ISO22301是第一份以业务连续管理(Business Continuity Management，简称BCM)为主题的国际标准，它提供了一种完整通用的BCM方法论，能让企业能够达到国际上公认的最佳实践，也是衡量企业服务连续性能力是否满足社会责任和顾客承诺的唯一标准；

为企业在业务连续性管理体系的建立和改进提供了一套完整的框架，能够协助企业更好地辨别和分析潜在的灾难，并提供行之有效的管理机制来应对突发事件，减少灾难事件给企业带来的损失；

标志着企业能够为用户持续提供成熟和更高质量的产品及服务。

一、建立和实施ISO22301业务连续性管理过程总则

组织按《事件管理程序》以业务影响分析已识别的恢复目标为基础，建立、实施和保持业务连续性管理程序，来管理中断事件和保证活动的连续性。程序应1、建立适当的内部和外部的沟通协议；

2、针对业务中断期间必须采取的紧急步骤进行详细规定；3、灵活应对非预期的威胁和不断转变的内部和外部环境；4、关注可能导致的潜在运行中断事态影响,5、开发基于假设和相互依赖关系的分析；6、有效最小化的结果通过实施适当的缓解策略。7、事件响应机制组织应按《应急准备与响应管理程序》建立、实现过程和管理应对事件的人员具备必要的职责,权力和能力；

管理事件，响应机制应:1、识别启动正式措施的影响阈值；2、评估事件的性质和范围以及潜在影响；3、启动业务连续性响应；4、具备1个适当启动、运行、协调和沟通的响应程序,5、具备可用资源来支持过程和过程管理的中断事件为了减少影响,6、与相关方和权力机构以及媒体进行沟通。组织应决定,以生命安全为第一要务,咨询相关感兴趣方,是否沟通外部对其重大风险和影响并记录其决定。假如其次决定是沟通组织应建立并实施这个外部程序沟通,包含媒体适当的警报和警告。

二、预警和沟通

运撑与服务部按《沟通和预警控制程序》建立、实施和保持程序以：

1、发现事件；

2、对事件进行日常监测；

3、内部沟通和接收、记录和回复相关方的反馈；

4、接收、记录和响应任何国家或地区的威胁系统；

5、确保事件中断期间沟通手段是可用的；

6、为同响应人员进行有序的沟通提供便利；

7、记录有关事件的重要信息,采取的行动和决定,以下将也被认为是和实施适用的地方:

——提醒当事人可能影响1个实际的或即将发生的中断事件;

——确保多个响应组织和人员之间的协同;

——通信设施的运行。沟通和预警程序应定期演习

三、业务连续性计划

运撑与服务部按《业务连续性管理程序》建立响应中断事件,以及何将继续或恢复其活动在1个预定的时间内,此程序应对使用者提出要求业务连续性计划应包含:

1、定义事件发生时和发生后相关人员团队的角色和职责;

2、1个启动响应的过程,

3、处理中断事件造成直接后果的详细说明,应考虑到:

4、个人的福利;

5、响应中断的战略、战术和执行的方案;

6、预防进1步的损失或优先活动无法执行;

7、怎样以及在什么情况下组织将与员工以及亲戚,关键相关方和紧急联络人进行沟通;

8、组织将怎样在预定时间里继续或恢复其优先活动;

9、事件发生后,组织的媒体应详细说明,包含沟通策略;首选媒体接口;指导或模板起草一份声明媒体;合适的发言人;事件结束后退出。每个计划应当定义:目的和范围,目标,激活的标准和程序,实施步骤,角色、责任,沟通的要求和程序,内部和外部的相互依赖关系和交互作用,资源需求,信息流和文档的过程。

四、恢复

组织应按照《灾难恢复程序》记录程序恢复并返回从临时经营活动措施来支持事件后正常的业务需求。