iso22000食品安全管理体系-凯时人生就是博首页
信息安全管理实用规则iso/iec27001的前身为英国的bs7799标准,该标准由英国标准协会(bsi)于1995年2月提出,并于1995年5月修订而成的。1999年bsi重新修改了该标准。bs7799分为两个部分:
bs7799-1,信息安全管理实施规则
bs7799-2,信息安全管理体系规范。
第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(isms)的要求,规定了根据独立组织的需要应实施安全控制的要求。
2000年,国际标准化组织(iso)在bs7799-1的基础上制定通过了iso 17799标准。bs7799-2在2002年也由bsi进行了重新的修订。iso组织在2005年对iso 17799再次修订,bs7799-2也于2005年被采用为iso27001:2005。
自2005年国际标准化组织(简称:iso)将bs 7799转化为iso 27001:2005发布以来,此标准在国际上获得了空前的认可,相当数量的组织采纳并进行了信息安全管理体系的认证, 至2011年底,国际上颁发的iso 27001认证证书总数约为15625张(其中,bsi的市场占有率达约为45.65%)。
在我国,自从2008年将iso 27001:2005转化为国家标准gb/t 22080:2008以来,信息安全管理体系认证在国内进一步获得了全面推广,至2011年底,国内颁发认证证书数量是1107张。越来越多的行业和组织认识到信息安全的重要性,并把它作为基础管理工作之一开展起来。
iso27001认证咨询范围
信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、ic制造和软件外包等行业。
信息安全管理体系标准的作用
信息安全管理体系也不单是it部门的管理,其他部门的内容也很多。采购部:供应商保密协议签订、每年对供应上进行评定;销售部:客户满意度、标书的处理方法、标书的保管;财务部:文件密码设置管理、用章管理、软件做账的安全性、风险评估管理;研发部:方案设计流程管理,淘汰的方案管理等;管理部:对新员工、老员工不定期进行信息安全管理法进行培训,风险评估、完整性文件、可用性文件、保密性文件进行管控,员工录用必须签订保密协议和敬业协议等等
信息安全管理体系标准提供了科学的信息安全管理模型,其本身是一个系统化、程序化和文件化的管理体系,强调动态性和过程控制,在成本与风险控制的平衡中选择安全控制措施;强调系统、全面的风险评估,体现预防为主的思想;强调与国家信息安全法律和制度的符合性;强调对组织关键信息资产机密性、完整性、可用性的保护和业务的持续运作。
通过标准实施,预期达到以下成果:在策略制度方面,形成从方针手册,到程序文件、操作规程直至记录表格在内的层次化的文件体系;在组织建设方面,建立决策、管理、执行和监督多维的组织架构,明确信息安全相关角色和职责;在风险管理方面,通过风险评估和处置过程,建立起全面的信息安全内部控制(包括技术和管理两个方面)机制,结合信息安全事件管理和业务连续性管理,确保组织从整体上将信息安全风险控制在可接受水平;在人员意识方面,通过有序组织信息安全培训及相关意识宣贯活动,确保人员具备基本的信息安全意识和操作技能;在支持保障方面,建立内/ 外部审核、管理评审、有效度量、日常检查等多项检查监督机制。