客服热线:
手机版
二维码
认可与市场准入制度
认可与市场准入制度
市场准入通常是与某个具体领域的法规或规章密切联络的,市场准入通常是政府依据一定的规则,容许市场主体及交易对象进入某个市场领域的直接控制或干预。当市场准入将产品通过获认可的合格评定机构的认证、检测或检查作为必要和充分要求时,则该产品在满足认证、检测或检查要求的情况下能够直接进入市场。根据国际认可组织近些年对各国的调查,获认可的合格评定结果被各国政府监管部门采信的程度得到了持续增长。
我要认证请致电咨询:0311-80690702
今日通过对《认可与市场准入制度》的学习,相信你对认证有更好的认识。假如要办理相关认证,请联络我们吧。
认识ISO27001国际标准
认识ISO27001国际标准
ISO27001(BS7799/ISO17799)国际标准究竟是什么?它怎样协助1个组织更加有效地管理信息安全?BS7799/ISO27001和ISO9001之间有什么联络?初次涉猎信息安全管理领域应该掌握什么内容,以便组织发起信息安全管理项目?怎样获得BS7799国际标准认证?
IT治理和信息安全
近些年企业高层对内部治理需求越来越实际而具体。随着信息技术普遍渗透到企业组织中的各个方面,企业越来越依赖IT系统来处理和储存各种信息,以保证业务正常运营,由此IT系统在企业治理中的作z用越来越明晰,IT治理也逐渐被大多数企业认可,成为董事会和企业内部共同关注的领域。IT治理的基础部分是信息安全保护包含确保信息的可用性、机密性和完整性这是其他IT治理环节实施的前提。
与此同时,和信息安全相关的国际标准已经出台,成为标准IT治理框架中的一大基石。
信息安全和法律法规
专业人士对ISO27001认证趋之若鹜,这其中有两个关键性的驱动因素:一是日益严峻的信息安全威胁,二是不断增长的信息保护相关法规的需求。
本质上说,信息安全威胁是全球化的。通常而言,它将毫无差别地辐射到每1个拥有、使用电子信息的机构和个人。这种威胁在因特网的环境中自动生成并释放。更严重的问题是,其他各种形式的危险也在整日威胁数据安全,包含从外部攻击行为到内部破坏、偷盗等一系列危险。
过去的十年内,围绕信息和数据安全问题建立起来的法律法规体系从无到有、不断壮大,其中包含专门针对个人数据保护问题的,也有针对企业财政、运营和风险管理体系建立的法规保障问题的。一套正式规范的信息安全管理体系应当能够提供最佳实践部署指导。目前,建立这样的管理体系逐渐成为诸多合规项目的必要条件,与此同时,针对该管理体系的认证逐渐成为各种组织(包含政府部门)的热门需求,这份认证能够为他们带来重要的潜在商业合同。
信息安全和技术
绝大多数人认为信息安全是1个纯粹的有关技术的话题,仅有那些技术人员,尤其是计算机安全技术人员,才能够处理任何保障数据和计算机安全的相关事宜。这固然有一定道理。不过,实际上,恰恰是计算机用户本身必须考虑这样的问题:避免什么威胁?在信息安全和信息通畅中怎样平衡取舍?的确如此,一旦用户给出答案,计算机安全专家就能够设计并执行1个技术方案以达成用户需求。在组织内部,管理层应当负责决策,而不是IT部门。1个规范的信息安全管理体系必须明确指出,组织机构董事会和管理层应当负责相关信息安全管理体系的决策,同时,这个体系也应当能够反映这种决策,并且在运行过程中能够提供证据证明其有效性。
因此机构组织内部的信息安全管理体系的建立项目不必由1个技术专家来领导。事实上,技术专家在许多情况下起到相反的作用,可能会阻碍项目进程。因此,这个项目应该由质量管理经理、总经理或者其他负责机构内部重大职能的执行主管负责主持。
信息安全标准
1995年,英国标准机构(BSI)发布BS7799标准,即ISMS(信息安全管理体系),旨在规范、引导信息安全管理体系的发展过程和实施情况。BS7799标准被外界认为是1个不偏向任何技术、任何企业和产品供应商的价值中立的管理体系。只要实施得当,BS7799标准将协助企业检查并确认其信息安全管理手段和实施方案的有效性。
从企业外部来看,BS7799关注信息的可用性、机密性和完整性,至今这仍然是这项标准致力达到的目标。BS7799集中关注企业组织层面上的风险规避(一定程度上主要是商业和金融风险),而不包含避免每1个潜在风险的保护措施尽管它们至关重要。
BS7799最初仅有一份文档,且具有明显的实践指南性质。也就是说,它为组织提供信息安全指引,但没有形成规范,不能为外部第三方审计和认证等提供依据。随着越来越多的企业开始认识到来自信息安全的威胁波及范围越来越广,影响程度越来越大,并且关于数据和隐私权保护的法律法规不断出台,信息安全标准认证的需求开始不断增加。
这种需求的增加最终促成了该项标准第二部分的出台,即标准规范。实践指南和标准规范之间的关系是这样的:标准规范是认证方案的基础,同时标准规范要求实践者遵从实践指南的指引。
这个实践指南最近被修订为ISO/IEC 17799:2005,标准规范也被修订为ISO/IEC 27001:2005,逐步得到国际认同。
许多国家也已发布了自己的相关标准,例如AS/NZS7799。这些标准的国际化版本能够在世界任何国家得到认可,这促使了本土化标准的消退(除了基于两个标准号码基础上的本土化标准以外)。
认证与遵从
1个组织能够仅遵从ISO17799来建立和发展ISMS(信息安全管理体系),由于实践指南中的内容是普遍适用的。然而,由于ISO17799并非基于认证框架,它不具备关于通过认证所必需的信息安全管理体系的要求。而ISO/EC27001则包含这些具体详尽的管理体系认证要求。在技术层面来讲,这就表明1个正在独立运用ISO17799的机构组织,完全符合实践指南的要求,可是这并不足以让外界认可其已经达到认证框架所制定的认证要求。不同的是,1个正在同时运用ISO27001和ISO17799标准的机构组织,能够建立1个完全符合认证具体要求的ISMS,同时这个ISMS体系也符合实践指南的要求,于是,这一组织就能够获得外界的认同,即获得认证。
ISO27001认证要求与其他管理标准
ISO27001标准是为了与其他管理标准,例如ISO9000和ISO14001等相互兼容而设计的,这一标准中的编号系统和文件管理需求的设计初衷,就是为了提供良好的兼容性,使得组织能够建立起这样一套管理体系:能够在最大程度上融入这个组织正在使用的其他任何管理体系。通常而言,组织通常会使用为其ISO9000认证或者其他管理体系认证提供认证服务的机构,来提供ISO27001认证服务。正是由于这个缘故,在ISMS体系建立的过程中,质量管理的经验举足轻重。
可是有一点必须注意,1个组织假如没有事先拥有并使用任何形式的管理体系,并不代表着该组织不能进行ISO27001认证。这种情况下,该组织就应当从经济利益考虑,选择1个合适的管理体系的认证公司来提供认证服务。认证公司必须得到1个国家鉴定机构的委托授权,才能为认证组织提供认证服务,并发放认证证书。大多数国家都有自己的国家鉴定机构(例如:英国UKAS),任何获得该机构授权进行ISMS认证的机构均记录在案。
风险评估和风险应对计划
任何1个ISMS体系的建立和开发都应当满足组织独特的需求。每个组织不仅都有自己独特的业务模式、运营目标、形象特点和内部文化,他们对待风险的态度偏向也大相径庭。换句话说,同1个东西,1个机构组织认为是必须提防的威胁,在另1个组织看来可能是1个必须抓住的机遇。同样地,各个机构组织对于既有风险防护的投入也参差不齐。基于以上或者其他原因,每个运行ISMS的组织,其内部成员必须对风险评估有1个共识,这个风险评估的方法论、结果发现和推荐解决方式都必须得到董事会的首肯。
着手准备ISMS项目和PDCA流程
ISMS项目很复杂,可能持续若干个月甚至若干年,涉及整个机构组织以及从管理层到收发部门的每个成员。ISO27001认证诞生时间短,成功的案例比较少。从务实的角度考虑,这表明在项目计划过程中,必须尽早对这些仅有的指导性的书籍和案例进行分析和研究。ISO27001标准指导1个企业怎样着手开展ISMS项目,并且关注整个项目进程中的若干重要元素。
1950年W. EdwaRDS Deming提出PDCA流程,即计划(Plan)-执行(Do)-检查(Check)-提升(Act)过程,意在说明业务流程应当是不断改进的,该方法使得职能部门经理能够识别出那些必须修正的环节并进行修正。这个流程以及流程的改进,都必须遵循这样1个过程:先计划,再执行,而后对其运行结果进行评估,紧接着按照计划的具体要求对该评估进行复查,而后找寻到任何与计划不符的结果偏差(即潜在改进的可能性),最后向管理层提出怎样运行的最终报告。
今日通过对《认识ISO27001国际标准》的学习,相信你对认证有更好的认识。假如要办理相关认证,请联络我们吧。
