信息安全管理體系(ISMS)是組織依據GB/T22080/ ISO/IEC27001(信息技術安全技術信息安全管理體系 要求)的要求,是組織整體管理體系的一個部分,是基於風險評估,來建立、實施、運行、監視、評審、保持和改進信息安全等一系列的管理活動,是組織在整體或特定範圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。
ISO/IEC27001是建立和維護信息安全管理體系的標準,它要求組織通過一系列的過程如確定信息安全管理體系範圍,制定信息安全方針和策略,明確管理職責,以風險評估為基礎選擇控制目標和控制措施等,使組織達到動態的、系統的、全員參與的、制度化的、以預防為主的信息安全管理方式。
ISMS認証針是對組織ISMS符合GB/T 22080/ ISO/IEC27001要求的一種認証。這是一種通過權威的第三方審核之後提供的保証:受認証的組織實施了ISMS,並且符合GB/T 22080/ ISO/IEC 27001標準的要求。通過認証的組織,將會被註冊登記。
ISO27001認証對企業的好處
1、符合法律法規要求
証書的獲得,可以向權威機構表明,組織遵守了所有適用的法律法規。從而保護企業和相關方的信息系統安全、知識產權、商業祕密等。
2、維護企業的聲譽、品牌和客戶信任
証書的獲得,可以強化員工的信息安全意識,規範組織信息安全行為,減少人為原因造成的不必要的損失。
3、履行信息安全管理責任
証書的獲得,本身就能証明組織在各個層面的安全保護上都付出了卓有成效的努力,表明管理層履行了相關責任。
4、提高員工的意識、責任感和相關技能
証書的獲得,可以強化員工的信息安全意識,規範組織信息安全行為,減少人為原因造成的不必要的損失。
5、保持業務持續發展和競爭優勢信息安全管理體系的建立,意味着組織核心業務所賴以持續的各項信息資產得到了妥善保護,並且建立有效的業務持續性計劃框架,提升了組織的核心競爭力。
6、實現風險管理
有助于更好地了解信息系統,並找到存在的問題以及保護的辦法,保証組織自身的信息資產能夠在一個合理而完整的框架下得到妥善保護,確保信息環境有序而穩定地運作。
7、減少損失,降低成本
ISMS的實施,能降低因為潛在安全事件發生而給組織帶來的損失,在信息系統受到侵襲時,能確保業務持續開展並將損失降到低程度
ISO27001認証適用範圍
信息安全對每個企業或組織來說都是需要的,所以信息安全管理體系認証具有普遍的適用性,不受地域、產業類別和公司規模限制。從目前的獲得認証的企業情況看,較多的是涉及保險、証券、銀行、金融產業鏈所涉及的行業(票據印刷、IC卡製造)以及為金融行業提供服務的企業、電信行業、電力行業、數據處理中心和軟件外包、軟件開發等行業。
ISO27001認証申請條件
1、具備獨立的法人資格或經獨立的法人授權的組織;
2、按照ISO/IEC 27001標準的要求建立文件化的信息安全管理體系;
3、已經按照文件化的體系運行三個月以上,並在進行認証審核前按照文件的要求進行了至少一次管理評審和內部質量體系審核。
ISO27001認証項目實施5大階段
ISMS模型將整個信息安全管理體系建設項目劃分成五個大的階段,並包含25項關鍵的活動,如果每項前後關聯的活動都能很好地完成,最終就能建立起有效的ISMS,實現信息安全建設整體藍圖,接受ISO27001審核並獲得認証更是水到渠成的事情。
一:現狀調研階段:從日常運維、管理機制、系統配置等方面對組織信息安全管理安全現狀進行調研,通過培訓使組織相關人員了解信息安全管理的基本知識。
二:風險評估階段:對組織信息資產進行資產價值、威脅因素、脆弱性分析,從而評估組織信息安全風險,選擇適當的措施、方法實現管理風險的目的。
三:管理策劃階段:根據組織對信息安全風險的策略,制定相應的信息安全整體規劃、管理規劃、技術規劃等,形成完整的信息安全管理系統。
四:體系實施階段:ISMS建立起來(體系文件正式發布實施)之後,要通過一定時間的試運行來檢驗其有效性和穩定性。
五:認証審核階段:經過一定時間運行,ISMS達到一個穩定的狀態,各項文檔和記錄已經建立完備,此時,可以提請進行認証。