ISO/IEC 27001是信息安全管理體系國際標準,規(guī)定了如何恰當地應用經獨立評估認證的信息安全管理體系����,可為您更有效地保護所有公司數據和保密信息提供基準,從而將非法獲取相關資料的風險降至最低�。
ISO 27001是一個信息安全管理體系實施規(guī)范,并可使用該規(guī)范對組織的信息安全管理體系進行審核與認證,以保證組織能擺脫信息安全遭破壞�。ISO 27001:2013標準,是建立信息安全管理體系(ISMS)的一套規(guī)范�����,其中詳細說明了建立�、實施和維護信息安全管理體系的要求�����,指出實施機構應該遵循的風險評估標準���。作為一套管理標準,ISO 27001指導相關人員如何去應用ISMS����,其最終目的在于建立適合企業(yè)需要的信息安全管理體系��。信息安全管理標準是國際上具有代表性的信息安全管理體系標準���。信息安全管理對每個企業(yè)或組織來說都是需要的�,所以信息安全管理體系認證具有普遍的適用性,不受地域����、產業(yè)類別和公司規(guī)模限制。
ISO/IEC 27001標準信息安全管理體系體系簡介
隨著信息化建設工作不斷推進����,計算機網絡規(guī)模和應用范圍逐步擴大,信息科技的作用已經從業(yè)務支持逐步走向與業(yè)務的融合����。同時,信息化在給企事業(yè)單位帶來發(fā)展和效益的同時�����,其所形成的風險與傳統(tǒng)操作風險的內涵發(fā)生了根本性變化�。許多信息安全的問題紛紛出現:商業(yè)秘密的泄露�����、客戶資料的流失�、系統(tǒng)癱瘓、黑客入侵、病毒感染����、網絡釣魚、網頁改寫等�。ISO/IEC 27001標準各行業(yè)重要信息安全事件也屢屢發(fā)生并呈快速上長趨勢,特別是一些企業(yè)發(fā)生的嚴重信息安全事件���,更是給事發(fā)企業(yè)造成了難以估量的經濟或聲譽損失,影響了企業(yè)業(yè)務的穩(wěn)健運行�。
ISO/IEC 27001標準信息安全管理體系(Information Security Management System,簡稱為ISMS)是1998年前后從英國發(fā)展起來的信息安全領域中的一個新概念��,是管理體系(Management System����,MS)思想和方法在信息安全領域的應用。近年來�,伴隨著ISMS國際標準的制修訂,ISMS迅速被全球接受和認可����,成為世界各國、各種類型�、各種規(guī)模的組織解決信息安全問題的一個有效方法。ISMS認證隨之成為組織向社會及其相關方證明其信息安全水平和能力的一種有效途徑。
信息安全管理體系是組織機構單位按照信息安全管理體系相關標準的要求���,制定信息安全管理方針和策略�,采用風險管理的方法進行信息安全管理計劃���、實施���、評審檢查、改進的信息安全管理執(zhí)行的工作體系����。 信息安全管理體系是按照ISO/IEC 27001標準《信息技術 安全技術 信息安全管理體系要求》的要求進行建立的,ISO/IEC 27001認證標準是由BS7799-2標準發(fā)展而來���。
ISO/IEC 27001標準信息安全管理體系認證ISMSI是建立和維持信息安全管理體系的標準�,標準要求組織通過確定信息安全管理體系范圍��、制定信息安全方針����、明確管理職責、以風險評估為基礎選擇控制目標與控制方式等活動建立信息安全管理體系;體系一旦建立組織應按體系規(guī)定的要求進行運作�,保持體系運作的有效性;信息安全管理體系應形成一定的文件���,即組織應建立并保持一個文件化的信息安全管理體系,其中應闡述被保護的資產�����、組織風險管理的方法����、控制目標及控制方式和需要的保證程度。
1背景介紹
為進一步保障我國信息系統(tǒng)建設的業(yè)務安全需要���,加強網絡和信息安全服務市場的規(guī)范化管理,有利于各級政府��、央企及大中型國有企業(yè)選擇具備行業(yè)領域專業(yè)性的信息化承建單位�,保證信息系統(tǒng)行業(yè)領域的安全服務質量,中國通信工業(yè)協會受工業(yè)和信息化部委托�,本著制定行業(yè)標準、規(guī)范行業(yè)行為的職能����,審核并發(fā)放《信息系統(tǒng)業(yè)務安全服務資質》證書。
《信息系統(tǒng)業(yè)務安全服務資質》證書將有效的協助政府部門規(guī)范和加強信息網絡安全工作的管理���,促進網絡安全技術的交流���,提高用戶安全意識�����,保障信息建設社會化和產業(yè)化的健康發(fā)展�����。
2016年4月工業(yè)和信息化部著力搭建“矩陣式信息化建設企業(yè)管理平臺”�,并首次將《信息系統(tǒng)業(yè)務安全服務資質》作為平臺的入口管理依據���,用以充分評估平臺內信息化建設企業(yè)的行業(yè)服務方向和專業(yè)能力水平�,從而充分發(fā)揮政府部門對信息化建設企業(yè)的管理�、指導及政策支持等職能。
隨著我國信息化進程不斷提速��,標準����、規(guī)范制定脫離和難以跟上實際應用需求的問題日益突出?���!靶畔⑾到y(tǒng)業(yè)務安全服務資質”評價的出臺��,通過對信息化建設企業(yè)的專業(yè)分類�、分級的資質認證�,能夠對信息化建設服務提供商的專業(yè)領域、基本資格�、管理能力、技術能力���、安**力和服務過程能力等方面進行權威���、客觀、公正的評價��,證明其服務能力滿足社會對信息化建設服務的選擇需求��。同時���,認證過程也將有效促進信息化建設的服務提供方完善自身管理體系,提高服務質量和水平���,引導行業(yè)健康規(guī)范發(fā)展��。
2資質介紹
信息系統(tǒng)業(yè)務安全服務資質評定是指中國通信工業(yè)協會依據資質管理辦法和資質等級評定條件對信息化承建企業(yè)的綜合能力和水平進行的評價和評定��,按照不同行業(yè)分項頒發(fā)資質評定證書���。是對信息系統(tǒng)服務提供者的資格狀況���、技術實力和實施安全工程過程質量保證能力等方面的評定。
該資質是評估信息化建設企業(yè)的專項領域及服務水平的一項政府措施����,是工業(yè)和信息化部委托中國通信工業(yè)協會(國家一級協會)對國內的信息化承建單位進行資質評價的活動。參與并通過信息系統(tǒng)業(yè)務安全服務資質評審的企業(yè)�����,由中國通信工業(yè)協會發(fā)放統(tǒng)一的評級編號及等級證書�����,同時獲得工業(yè)和信息化部“矩陣式信息化建設企業(yè)管理平臺”準入資格��。
3實施意義:
1)充分展示自身的專業(yè)服務能力����,便于信息系統(tǒng)項目采購單位對承建單位的選擇���,降低溝通成本。
2)無障礙參與信息化項目采購單位的招投標活動��,進一步提升企業(yè)的產品����、技術服務差異化和市場競爭力。
3)持續(xù)加強自身技術基礎建設��,優(yōu)化提高信息化建設企業(yè)行業(yè)專業(yè)領域服務的技術能力和服務水平��。
4)獲得工信部“矩陣式信息化建設企業(yè)管理平臺”的準入資格�����,享受政府部門相關政策�����、資金的支持��。
4適用范圍
面向所有的信息化企業(yè)��,其中包括通信��、互聯網����、軟件開發(fā)、系統(tǒng)集成等IT行業(yè)中的大���、中����、小型信息化企業(yè)�����。
客服咨詢
158-0008-7775 
