网站首页 关于广顺 经营范围 公司业绩 公司资质 咨询团队 联系广顺 招贤纳士
 
企业导入ISO27001信息安全管理体系的主要步骤
上海广顺企业管理有限公司   2014-05-30 14:22:55 作者:SystemMaster 来源: 文字大小:[][][]

目前,国际标准化组织(ISO)的应用最广泛、最典型的信息安全管理体系(简称:ISMS)标准ISO/IEC27001:2005ISO/IEC27002:2005,分别是“信息安全管理体系要求”和“信息安全管理实用准则”。在2008年的11月也正式转换成我国的国家标准,两个标准的编号分别是GB/T22080GB/T22081,与国际标准等同采用。

“信息安全管理体系要求”规定了信息安全管理体系方面与信息安全控制方面的要求,是一个组织的全面或部分信息安全管理体系评估的基础,从11个方面提出了133个控制措施,作为建立组织的信息安全准则和有效安全管理的实用指南。

不同的组织在建立与完善ISMS时,可根据自己的特点和具体情况,采取不同的步骤和方法。但总体来说,建立ISMS体系一般需要经过四个基本阶段:
1
、体系规划阶段

体系规划主要是明确信息安全管理的目标、范围和政策,并收集目前和组织信息安全相关的数据、文件,进行组织业务现状分析,并确立体系文件架构,之后要进行宣贯性的信息安全培训。同时要建立一个跨部门的“信息安全委员会”来负责体系规划,并且该组织一定要拥有最高管理阶层的支持。其中范围的确定,是根据组织的需求和组织的实际工作特性而定,可以是组织全部也可以是相对独立的核心部分。
2
、风险评估及风险处理阶段

ISMS的目标是通过系统的安全风险评估确定安全需求,并对控制措施的实施与安全事故可能造成的损失进行权衡考虑后得出的。风险评估是在资产分类及管理的基础上进行的;通过风险评估可以了解风险的权重和等级,就企业需求和法律规章决定其可接受风险以及风险的等级,从而制定安全处理策略规划和安全控制措施。
3
、文件颁布与实行阶段

在这一阶段,根据风险处理计划和安全控制措施,需要制定信息安全管理的作业程序和作业指导书等文件,形成了组织的ISMS。同时,在实施ISMS的范围内需要进行全体人员的体系宣贯培训。ISMS不仅仅局限于IT技术,它包括人员,技术和过程的一系列的要素,因此在制定和实施过程中需要管理层的支持和全体员工的参与。同时为确保体系的有效性和适宜性,还需要定期的审核和检查。从而建立Plan-Do-Check-Action 机制,不断提升组织的安全等级。
4
、体系审核与评审认证申请

体系经过一定时间运行后经过不断的完善达到稳定的状态,各文档和记录已建立完备,便可以向认证机构提出申请,获得认证,组织的价值得到提升。

欢迎电话咨询021-64884046,13801668000。

 
  
 

全站搜索 资料下载 友情链接

办公地址:上海市莘庄莘建路228弄闵富大厦1号楼602 邮编:201199
公司电话:021-64884046 公司传真:021-64881562    
咨询热线:13801668000 15601731050 赵老师   Email:zhaoxiangdong88@sina.com
沪ICP备05027462号