ISO27001的信息安全管理體系咨詢服務(wù)

來源：    發(fā)布日期：2015.01.30   點擊量：

信息安全發(fā)展至今，人們越來越認識到安全管理在整個信息安全建設(shè)過程中的重要性，而作為信息安全管理方面最著名的國際標準——ISO/IEC 27001（即之前所稱的BS7799標準），則成為可以指導(dǎo)我們現(xiàn)實工作的最好的參照，它也是認證審核的標準。

信息安全管理實用規(guī)則ISO/IEC27001的前身為英國的BS7799標準，該標準由英國標準協(xié)會（BSI）于1995年2月提出，并于1995年5月修訂而成的。2000年，國際標準化組織（ISO）在BS7799-1的基礎(chǔ)上制定通過了ISO 17799標準。BS7799-2在2002年也由BSI進行了重新的修訂。ISO組織在2005年對ISO 17799再次修訂，BS7799-2也于2005年被采用為ISO/IEC 27001:2005。ISO組織在2013年再次進行改版，發(fā)布了ISO/IEC 27001:2013版.

ISO/IEC 27001標準，旨在規(guī)范、引導(dǎo)信息安全管理體系的發(fā)展過程和實施情況。ISO/IEC 27001標準被外界認為是一個不偏向任何技術(shù)、任何企業(yè)和產(chǎn)品供應(yīng)商的價值中立的管理體系。只要實施得當，ISO/IEC 27001標準將幫助企業(yè)檢查并確認其信息安全管理手段和實施方案的有效性。從企業(yè)外部來看，ISO/IEC 27001關(guān)注信息的可用性、機密性和完整性，至今這仍然是這項標準致力達到的目標。

l  什么是信息安全管理

ISO/IEC 27001標準，為建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系提出了模型，其中詳細說明了建立、實施和維護信息安全管理系統(tǒng)的要求，指出實施機構(gòu)應(yīng)該遵循的風險評估標準。作為一套管理標準，ISO/IEC 27001指導(dǎo)相關(guān)人員怎樣去應(yīng)用ISO/IEC 27001，其最終目的，還在于建立適合企業(yè)需要的信息安全管理系統(tǒng)。

ISO/IEC 27001標準，定義了14個安全域和114個安全控制措施項。如下：

ISO/IEC 27001標準要求的建立ISO/IEC 27001框架的過程：制定信息安全策略，確定體系范圍，明確管理職責，通過風險評估確定控制目標和控制方式。體系一旦建立，組織應(yīng)該實施、維護和持續(xù)改進ISO/IEC 27001，保持體系的有效性。

   如何實施基于ISO27001標準的信息服務(wù)管理體系

ISO27001管理體系咨詢方法論

——分析階段

通過前期的項目準備，使企業(yè)領(lǐng)導(dǎo)能充分的支持與授權(quán)相應(yīng)人員進行信息安全的建設(shè)，并且通過安全意識的培訓，使企業(yè)項目人員逐步了解信息安全管理相關(guān)的知識并樹立信息安全管理的理念

安言咨詢將于企業(yè)主要人員一起，對企業(yè)業(yè)務(wù)目標進行分析。同時客觀準確地評估信息安全管理現(xiàn)狀、進行差距分析、評價安全管理成熟度，為后續(xù)風險評估和建立管理體系打下基礎(chǔ)。

風險評估工作是風險管理的基礎(chǔ)，同時也是建立企業(yè)信息安全管理體系的重要工作，風險評估工作主要是安言咨詢對企業(yè)信息安全現(xiàn)狀從技術(shù)與管理方面進行評估，同時與ISO27001的標準及結(jié)合各類內(nèi)外部監(jiān)管要求進行差距對比，并確定企業(yè)今后風險評估方法。

——實現(xiàn)階段

ISO/IEC 27001把 信息安全管控的工作內(nèi)容劃分為 14個安全控制域。這就要求項目組在項目實施階段將ISO/IEC 27001的組織架構(gòu)進行優(yōu)化從而更有效、合理分配人員職責。人員職責分配是項目和后續(xù)運行成功的基礎(chǔ)。因此安言咨詢首先協(xié)助建立合理的項目組織及職責分配，這是成功的基礎(chǔ)和組織保證。

安言咨詢咨詢配合企業(yè)根據(jù)國際信息安全管理標準ISO27001標準，在體系范圍內(nèi)建立完整的信息安全管理體系，達到動態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預(yù)防為主的信息安全管理方式。主要是制定風險處置計劃、ISMS一、二級文件體系修訂設(shè)計、體系文件編制輔導(dǎo)、內(nèi)審與管理評審工作的指導(dǎo)。

——運行階段

為了確保體系試運行的效果，安言咨詢采取“先培訓、后指導(dǎo)再推”工作思路使相關(guān)人員全面參與到體系的試運行過程中，同時建立暢通反饋渠道不斷收集意見和建議，然后根據(jù)這些意對體系進行優(yōu)化調(diào)整使有效運落實。

——認證階段

安言咨詢?yōu)槠髽I(yè)培訓迎審技巧及注意事項，然后由安言咨詢項目經(jīng)理和咨詢顧問，和客戶方項目組配合第三方認證機構(gòu)進行第一階段的認證審核，咨詢機構(gòu)協(xié)助通過并整改不符合項。完成后安排第三方認證機構(gòu)的第二階段注冊審核，全面協(xié)助企業(yè)通過現(xiàn)場認證。

  實施基于ISO27001標準的信息安全管理體系的必要性

ISO27001不僅是目前國際上最權(quán)威的信息安全管理體系標準，更重要的是它為企業(yè)的信息安全管理體系實施和落地提供了非常優(yōu)秀的管理控制方法和風險評估理念。因此，企業(yè)需要在不斷滿足和更新相關(guān)安全技術(shù)產(chǎn)品的同時，不斷反思和持續(xù)改進內(nèi)部的安全管理科學性、有效性和適宜性，同時掌握正確的信息安全風險評估技能保持風險的可控和穩(wěn)定。

相關(guān)客戶案例：