联系我们
联系人:
梁小姐
手机:
13538810811
邮箱:
zcc@isozcc.com
电话:
020-37889183
QQ :
2885295578
传真:
020-38861879
ISO/IEC 27001信息安全管理体系
体系简介
随着信息化建设工作不断推进,计算机网络规模和应用范围逐步扩大,信息科技的作用已经从业务支持逐步走向与业务的融合。同时,信息化在给企事业单位带来发展和效益的同时,其所形成的风险与传统操作风险的内涵发生了根本性变化。许多信息安全的问题纷纷出现:商业秘密的泄露、客户资料的流失、系统瘫痪、黑客入侵、病毒感染、网络钓鱼、网页改写等。各行业重要信息安全事件也屡屡发生并呈快速上长趋势,特别是一些企业发生的严重信息安全事件,更是给事发企业造成了难以估量的经济或声誉损失,影响了企业业务的稳健运行。
信息安全管理体系(Information Security Management System,简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念,是管理体系(Management System,MS)思想和方法在信息安全领域的应用。近年来,伴随着ISMS国际标准的制修订,ISMS迅速被全球接受和认可,成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。
信息安全管理体系是组织机构单位按照信息安全管理体系相关标准的要求,制定信息安全管理方针和策略,采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。 信息安全管理体系是按照ISO/IEC 27001标准《信息技术 安全技术 信息安全管理体系要求》的要求进行建立的,ISO/IEC 27001标准是由BS7799-2标准发展而来。
信息安全管理体系ISMS是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。
认证依据
ISO/IEC 27001:2022《信息安全 网络安全和隐私保护 信息安全管理体系 要求》
认证益处
· 符合法律法规要求: 信息安全管理体系的实施,要求组织遵守所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识 产权、商业秘密等;
· 维护企业的声誉、品牌和客户信任: 信息安全管理体系的实施向合作伙伴、股东和客户表明组织为保护信息而付出的努力,令其对组织的信心将得到加强。有助于确定组织在同行业内的竞争优势,提升其市场地位;
· 履行信息安全管理责任: 信息安全管理体系的实施能证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任;
· 增强员工的意识、责任感和相关技能: 信息安全管理体系可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失;
· 保持业务持续发展和竞争优势: 信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力;
· 实现业务风险管理:信息安全管理体系的实施有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作;
· 减少损失,降低成本: 信息安全管理体系的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到最低程度。
认证流程
