全国免费电话: 400-700-4710
咨询热线: 189-129-77900
在线咨询
微信咨询
中国认可
国际互认
服务项目 Products
全国统一服务热线:
400-700-4710
地址:南京市江北新区浦珠北路126号澳林购物广场18F
传真:025-58834900
E-mail:njkx9000@163.com
产品名称:

ISO27001体系建立与ISO27000体系重要因素有哪些?

产品名称: ISO27001体系建立与ISO27000体系重要因素有哪些?
上市日期: 2022-01-06
  • 产品概述
  • 产品规格
  • 详细参数

针对ISO27001体系建立的影响因素有物理安全、人员权限、PII数据防护等等,ISO27000体系的要素有保密性、完整性、可用性,下面小编就来为大家详细说明一下。

一、作为乙方如何更好的为甲方建立信息安全体系

1、体系建立的重要几点

(1)了解客户的需求;

(2)根据需求制定信息安全方案;

(3)领导层的支持;

(4)全体员工的配合;

(5)足够的乙方服务能力

2、了解客户需求

在项目立项前期,也就是售前阶段需要与客户进行沟通并了解客户为什么做信息安全体系建立,举例如ISO/IEC 27001信息安全管理体系,国内大部分公司主要的意图为以下几种:

(1)相关方要求:公司的供应商会对“你”有ISO27001是否通过的需求,如果没有在合作方面会有阻碍;

(2)投标:这个投标的话比较直接了当,有些公司为了自己的项目投标,然而他们标书的要求会有一票否决项,不过ISO27001不得参加;

(3)“给自己的客户心里安慰”:什么意思?就是做有些公司是to-B的为了给自己的客户心里安慰单纯的为了拿证书;

(4)公司自主要求:这一类客户是好客户,配合度高,能够实施落地,并且这种客户以外企为主。

总结一句话:国内企业先赚钱再管理,外企是先管理再赚钱,这就是不同类型企业针对信息安全管理建设的不同差异。

3、制定安全方案

安全方案就是根据客户的需求来制定,并且需要符合客户的实际情况,我们就拿实打实的做体系建设来说,我之前做过一个客户,某电商平台,国内数一数二的,并且他们有自己的信息安全团队,并且规模很大,通过了解他们日常的信息安全做的很好,并且也依据很多体系标准来制定公司内部的信息安全管理策略,像等保2.0、ISO27001、ISO27018、ISO27701、ISO20000等,他们的自主性很高,通过前期的沟通,他们的痛点是物理环境安全、人员权限和PII数据保护。

4、物理安全

他们物理安全的痛点有哪些:

(1)办公区域无任何隔离,为了追求无约束的办公环境,一些重要的财务、法务、信息安全部门均未进行物理隔离,通过现场查看可以看到他们即使在处理敏感的数据也未进行任何安全防护;

(2)由于是电商平台嘛,大部分都是比较年轻化的员工,并不喜欢佩戴员工卡,进出办公区域都是刷脸,并且门禁不是自动上锁的门禁,而且员工自己信息安全方面意识较为薄弱,即使外来人员尾随都没有人意识到,可以自由在办公区域走动;

5、人员权限

他们的人员权限比较混乱,主要有以下一个方面:

(1)不属于该部门的人员拥有该部门所涉及系统的最高权限;

(2)作为数据导出专员,可以导出大量的个人数据,并且是落到本地,而且也没有Backup人选;

(3)所有人员拥有打印权限。

ISO27001体系建立与ISO27000体系重要因素有哪些?

6、PII数据防护

作为电商平台接触最多的数据肯定是用户的PII数据,用户在该平台购买东西,他的个人数据姓名、电话、住址都会保存,并且这家企业虽然有相应的管控措施但是也有一些解决不了的问题:

(1)客服人员能够接触PII数据并且即使在家办公也会接触,虽然电脑终端有加密软件但是不能够管控到拍照;

(2)即使上了加密系统但是该系统有相应的缺陷,从某牛上下载数据不能够主动加密;

二、ISO27000信息安全管理体系

针对ISO/IEC 27000的受认可的认证,是对组织信息安全管理体系(ISMS)符合ISO/IEC 27000 要求的一种认证。这是一种通过权威的第三方审核之后提供的保证:受认证的组织实施了ISMS,并且符合ISO/IEC 27000标准的要求。通过认证的组织,将会被注册登记。ISO/IEC 27000可以作为评估组织满足客户、组织本身以及法律法规所确定的信息安全要求的能力的依据。

1、建立ISMS对组织的意义

组织可以参照信息安全管理模型,按照先进的信息安全管理标准建立完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,使信息风险的发生概率和结果降低到可接受水平,并采取措施保证业务不会因风险的发生而中断。组织建立、实施与保持信息安全管理体系将会:

(1)强化员工的信息安全意识,规范组织信息安全行为;

(2)对组织的关键信息资产进行全面系统的保护,维持竞争优势;

(3)在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;

(4)使组织的生意伙伴和客户对组织充满信心。

2、ISMS信息安全管理体系的三大要素

(1)保密性:确保只有经过授权的人才能存取信息。

(2)完整性:维护提供使用的信息为正确与完整的,未受破坏或篡改。

(3)可用性:确保经过授权的用户在需要时可以存取信息并使用相关信息。

总的来说,凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论,都是信息安全所要研究的范畴,也是信息安全所要实现的目标。

3、为什么要进行ISMS认证

根据CSI/FBI的报告统计, 65%的组织至少发生了一次信息安全事故,而在这份报告中同时表明有97%的组织部署了防火墙,96%组织部署了杀毒软件。可见,我们的信息安全手段并不奏效,信息安全现状不容乐观。

实际上,只有在宏观层次上实施了良好的信息安全管理,即采用国际上公认的最佳实践或规则集等,才能使微观层次上的安全,如物理措施等,实现其恰当的作用。采用ISO/IEC 27000标准并得到认证无疑是组织应该考虑的方案之一。其优点是:

(1)预防信息安全事故,保证组织业务的连续性,使组织的重要信息资产受到与其价值相符的保护,包括防范:

①重要的商业秘密信息的泄漏、丢失、篡改和不可用;

②重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断;

(2)节省费用。一个好的ISMS不仅可通过避免安全事故而使组织节省费用,而且也能帮助组织合理筹划信息安全费用支出,包括:

①依据信息资产的风险级别,安排安全控制措施的投资优先级;

②对于可接受的信息资产的风险,不投资安全控制;

保持组织良好的竞争力和成功运作的状态,提高在公众中的形象和声誉,最大限度的增加投资回报和商业机会;

增强客户、合作伙伴等相关方的信任和信心。

ISO27001体系建立与ISO27000体系重要因素有哪些?


4、信息安全的重要性

(1)对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要。

(2)任何组织及其信息系统(如一个组织的ERP系统)和网络都可能面临着包括计算机辅助欺诈、刺探、阴谋破坏行为、火灾、水灾等大范围的安全威胁。随着计算机的日益发展和普及,计算机病毒、计算机盗窃、服务器的非法入侵破坏已变得日益普遍和错综复杂。

(3)目前一些组织,特别是一些较大型公司的业务已经完全依赖信息系统进行生产业务管理,这意味着组织更易受到安全威胁的破坏。组织内网络的互连及信息资源的共享增大了实现访问控制的难度。

(4)有些组织的信息系统尽管在设计时可能已考虑了安全,但仅仅依靠技术手段实现安全仍然是有限的,还应当通过管理和程序来支持。

(5)英国曾做过一项统计,80%的信息资料的损失是与人为因素有关的。所以防止人为因素造成的信息风险被作为信息安全的主要控制对象。信息安全是通过执行一套适当的控制来达到的。可以是方针、惯例、程序、组织结构和软件功能来实现,这些控制方式需要确定,才能保障组织特定的安全目标的实现。

5、咨询认证所需申请材料

1、认证申请条件:

(1)申请方应具有明确的法律地位;

(2)受审核方已经按照ISMS标准建立文件化的管理体系;

(3)现场审核前,受审核方的管理体系至少有效运行三个月并进行了一次完整的内部审核和管理评审。

2、ISMS认证须提交的材料清单

(1)法律地位证明文件(如企业法人营业执照、组织机构代码证书);

(2)有效的资质证明、产品生产许可证强制性产品认证证书等(需要时);

(3)组织简介(产品及与产品/服务有关的技术标准、强制性标准、使用设备、人员情况等);

(4)申请认证产品的生产、加工或服务工艺流程图;

(5)服务场所、多场所需提供清单;

(6)管理手册、程序文件及组织机构图;

(7)服务器数量以及终端数量;

(8)服务计划、服务报告、容量计划。

Hot Products / 相关产品 More
2018 - 09 - 26
一、什么是CCC认证?所谓  3C认证,就是中国强制性产品认证制度,英文名称ChinaCompulsoryCertification,英文缩写CCC。3C认证的全称为”强制性产品认证制度”,它是各国政府为保护消费者人身安全和国家安全、加强产品质量管理、依照法律法规实施的一种产品合格评定制度。 二、CCC认证流程是什么?三、CCC认证的好处有哪些? 1. 强制性产品认证, 要求严把质量关,规范安全生产和规范市场行为;2. 3C认证制度的实施,无论是对于行业,还是消费者而言,都大有裨益。     1)有利于提升行业产品整体质量与档次,促进产业升级和产品出口增长。     2)广大的消费者将是实行3C认证的最大受益者。 四、CCC认证需要的材料有哪些?五、认证时间大概要多久?【...
2018 - 09 - 26
什么是CB认证?CB体系(电工产品合格测试与认证的IEC体系)是IECEE运作的-个国际体系,IECEE各成员国认证机构以IEC标准为基础对电工产品安全性能进行测试,其测试结果即CB测试报告和CB测试证书在IECEE各成员国得到相互认可的体系。目的是为了减少由于必须满足不同国家认证或批准准则而产生的国际贸易壁垒。IECEE 是国际电工委员会电工产品合格测试与认证组织的简称。 CB认证的优势绝大部分的电子电气产品进入各国时需要满足不同法规,在过去,要获得各国的产品安全认证是一个困难且耗费时间和金钱的过程。但现在依靠CB体系,制造商可以一次获得50多个国家的安全认证。在成功完成测试后,将为产品颁发一份CB检测证书和相应的CB检测报告。证书和报告加在一起就构成一个国际通行证,制造商用它可以申请任何参与CB体系国家或地区的***认证机构的全国认证,通常不再需要进行额外测试。 C...
2018 - 09 - 26
什么是API认证?API标准--API是美国石油学会(American Petroleum Institute)的英文缩写。API建于1919年,是美国第一家国家级的商业协会,也是全世界范围内最早、最成功的制定标准的商会之一,旨在联络石油工业的各个部门。API的一项重要任务,就是负责石油和天然气工业用设备的标准化工作,以确保该工业界所用设备的安全、可靠和互换性。 API 认证的好处基于API标准制定过程,API规范Q2是由各类服务提供商和主要石油天然气公司共同制定,其源于行业,并服务于行业,确保满足行业的日常作业要求。符合API规范Q2的服务提供商可以向行业证明其对服务策划,执行,评估,及有能力提供符合客户,法律要求的控制。服务策划必须包括关键指标,风险评估,应急预案与变更管理。API是石油天然气行业的权威组织。API有来自行业专家最直接,迅速的信息反馈,这其中就包括API内部及...
2018 - 09 - 26
一、ASME背景介绍       ASME是American Society of Mechanical Engineers(美国机械工程师协会)的英文缩写。 美国机械工程师协会成立于  1880年,在世界各地建有分部,是一个有很大权威和影响的国际性学术组织。ASME主要从事发展机械工程及其有关领域的科学技术,鼓励基础研究,促进学术交流,发展与其他工程学、协会的合作,开展标准化活动,制定机械规范和标准。它拥有125000个成员,管理着全世界最大的技术出版署,主持每年30个技术会议,200个专业发展课程,并制订了许多工业和制造标准。  自成立以来,ASME领导了机械标准的发展,从最初的螺纹标准开始到现在已发展了超过600多个标准。1911年成立了锅炉机械指令委员会,在1914到1915年颁布了机械指令,以后该指令又与各个州及加拿大的法律相结合。ASME 已成为主要在技术、教育及调查领域内世界...
  • 保姆服务
    提供认证全套解决方案
  • 高效快速
    当天处理,当天申报
  • 专业诚信
    20年经验,精于心细于行
  • 价格保障
    郑重承诺,无隐形消费
  • 证书权威
    证书信息,均有备案
  • 凯新认证咨询中心
    凯新认证是一家面向全国的国际综合认证咨询机构,公司是由一群资深顾问专家成立的,团队有20年的实战经验,总部位于南京。公司注重 “诚信为本,质量优先”,为企业提供体系认证咨询、AAA信用认证、产品认证等服务。始终以提升企业管理水平、改善企业生命力、提高 企业市场核心竞争为己任......
    Copyright ©2018 - 2020 All rights researved by KAIXIN 苏公网安备 32011202000204号
    犀牛云提供云计算服务