详细介绍
都可以参考此标准构建符合组织自身环境和需求的信息安全管理体系。
、ISO27001体系建设实施方法
下图是ISO27001项目实施佳方法论:
项目的目标达成和预期收益,是项目核心关注点。上图示例的项目方法论,是一套全面、系统化的实施方法论。从策略、结构、流程、人员、技术五个维度,导入标准,实施优化和变革。之后,以运维变更管理为主轴,实现持续运营。
我们都知道,信息安全不是一次标准导入、一次评估审计整改,就能达到预期目标和目的的。信息安全的建设,需要一个良好的运作机制,实现持续运营,持续改进,以推进信息安全治理不断达到新高度。
第二、ISO27001管理体系的框架
ISO组织于2013年9月26日,推出了新的版本ISO/IEC27001:2013信息安全管理体系标准,其框架图如下:
以上的框架,有详细的标准解读,这里不多做介绍了。标准的体系框架,几乎可以涵盖目前所有的组织管理领域,是互联网企业,仍然适用。只部分域在某些组织或机构中,比较薄弱而已,例如:供应关系管理。
当然,云计算时代,标准中的众多管理已经由云服务商实施落地了,这种情况,我们更多关注的是检查或审计云服务商的信息安全符合性。
第三、ISO27001导入及认证步骤
整体过程从战略确定,到现状评估和差异分析,再到体系设计与建立,之后实施体系运行发布,接着实行内部审核和改进,后获取认证。需要特别说明一点的是,ISO27001信息安全管理体系认证,每年都需要进行审核,三年重新认证。
下图为ISO27001认证步骤示例:
以上参考的标准和监管要求,各个行业的要求各不相同。金融行业的监管要求就是非常丰富和严格,需进行解读匹配。在标准和要求冲突时,以监管要求、本地标准优先。如金融监管要求的优先级,要高于ISO标准要求;互联网行业注重敏捷、简洁、快速,需和ISO标准进行融合沟通,达成一致。
第四、PDCA持续改进理论
基于PDCA循环框架构建信息安全管理体系,通过规划、设计实施、监控审计、以及持续改进,保证体系运作的有效性和长效性,真正实现信息安全的持续改进和优化,从而保障组织的业务安全。
这也是一套通用的信息安全PDCA循环方法论。无论互联网企业,还是传统的金融行业,都可以采用这种方式。
标准是固定不变的,但行业的佳实践各有各的不同。ISO27001体系建设,必须和组织自身情况相结合,不能为了标准符合而限制业务。
| 成立日期 | 2002年03月20日 | ||
| 法定代表人 | 陈文勇 | ||
| 主营产品 | UN38.3,CE,FCC,ROHS,质检报告, UL报告认证,CCC认证,ISO9001,ISO14001 | ||
| 经营范围 | 电子电器、通信产品、汽车配件、电线电缆、玩具及儿童用品、仪器仪表的标准技术、检测技术咨询与技术开发与销售、产品认证技术咨询;国内贸易、货物及技术进出口。(法律、行政法规或者国务院决定禁止和规定在登记前须经批准的项目除外) | ||
| 公司简介 | 深圳市万检通质量检验中心(WJT)为众多行业和产品提供通行全球解决方案的一站式全领域公共检测、鉴定、验货及认证服务平台,帮助企业应对全球各种技术贸易壁垒,提升企业竞争优势,满足其对品质的高标准要求。覆盖无线通讯产品、医疗器械、音视频产品、信息技术设备、家用电器、灯具照明,儿童玩具,电池、医疗保健等多个行业;提供安规LVD检测,电磁兼容EMC检测,无线射频RF检测,有害物质ROHS化学检测,可靠性检 ... | ||
- ISO9001质量管理体系认证办理时间多久ISO9001质量管理体系认证办理时间多久在当今市场中,企业的质量管理体系认证(... 2024-12-13
- ISO9001质量管理体系认证办理资料ISO9001质量管理体系认证办理资料在当今竞争激烈的市场环境中,企业要想立足并... 2024-12-13
- ISO9001质量管理体系认证办理需要提供的资料介绍在全球化和市场竞争日益激烈的环境下,企业需要不断提升自身的管理水平,以保证产品质... 2024-12-13
- 办理ISO9001质量管理体系认证申请办理资料办理ISO9001质量管理体系认证申请办理资料随着全球化的深入发展,各类企业越来... 2024-12-13
- ISO9001体系认证办理申请注意事项和申请需要的资料ISO9001体系认证办理申请注意事项和申请需要的资料在现代工业发展中,ISO9... 2024-12-13
