一��、策劃階段�����,組織應(yīng):
定義ISMS的范圍和方針�;
定義風(fēng)險(xiǎn)評(píng)估的系統(tǒng)性方法;
識(shí)別風(fēng)險(xiǎn)��;
應(yīng)用組織確定的系統(tǒng)性方法評(píng)估風(fēng)險(xiǎn)�����;
識(shí)別并評(píng)估可選的風(fēng)險(xiǎn)處理方式����;
選擇控制目標(biāo)與控制方式;
當(dāng)決定接受剩余風(fēng)險(xiǎn)時(shí)應(yīng)獲得管理者同意����,并獲得管理者授權(quán)開始運(yùn)行信息安全管理體系。
二�、實(shí)施階段,組織應(yīng)該實(shí)施選擇的控制����,包括:
實(shí)施特定的管理程序;
實(shí)施所選擇的控制;
運(yùn)作管理��;
實(shí)施能夠促進(jìn)安全事件檢測和響應(yīng)的程序和其他控制��。
三���、檢查階段�,組織應(yīng):
執(zhí)行程序����,檢測錯(cuò)誤和違背方針的行為;
定期評(píng)審ISMS的有效性��;
評(píng)審剩余風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的等級(jí)��;
執(zhí)行管理程序以確定規(guī)定的安全程序是否適當(dāng)����,是否符合標(biāo)準(zhǔn),以及是否按照預(yù)期的目的進(jìn)行工作���;
定期對(duì)ISMS進(jìn)行正式評(píng)審�����,以確保范圍保持充分性����,以及ISMS過程的持續(xù)改進(jìn)得到識(shí)別并實(shí)施�;
記錄并報(bào)告所有活動(dòng)和事件。
四��、改進(jìn)措施階段���,組織應(yīng):
測量ISMS績效��;
識(shí)別ISMS的改進(jìn)措施���,并有效實(shí)施;
采取適當(dāng)?shù)募m正和預(yù)防措施��;
與涉及到的所有相關(guān)方磋商�����、溝通結(jié)果及其措施�;
必要時(shí)修改ISMS,確保修改達(dá)到既定的目標(biāo)�����。
ISMS:ISMS(Information Security Management System)是信息安全管理體系。ISO/IEC17799:2000它是繼ISO9000����、ISO14000和OHSAS18000之后,又產(chǎn)生的一個(gè)管理體系標(biāo)準(zhǔn)—信息安全管理體系標(biāo)準(zhǔn)�����。
信息安全就是組織應(yīng)明確需要保護(hù)的信息資源�,確保信息的機(jī)密性、完整性和可用性��,并保持良好的協(xié)調(diào)狀態(tài)�����。信息安全對(duì)企業(yè)經(jīng)營非常重要���,為了防止信息安全事故或事件的發(fā)生���,盡管在技術(shù)方面采取了防火墻和入侵監(jiān)測系統(tǒng),但是人為因素造成的信息機(jī)密流失仍然占有很高的比率(據(jù)說約70%)��。因此,建立信息安全管理體系十分必要����。
為了建立�、實(shí)施和保持信息安全管理體系,首先應(yīng)策劃信息安全管理體系的方針和目標(biāo)�����,識(shí)別��、分類和清理信息資源�,根據(jù)其危險(xiǎn)程度、薄弱環(huán)節(jié)和發(fā)生頻次�,實(shí)施風(fēng)險(xiǎn)控制,包括回避���、轉(zhuǎn)移�����、控制和消除風(fēng)險(xiǎn)�����。按PDCA循環(huán)模式��,建立信息安全管理體系��。建立信息安全管理體系共有8個(gè)階段��。包括確定ISMS適用范圍�、策劃ISMS方針目標(biāo)、策劃風(fēng)險(xiǎn)控制的過程�����、識(shí)別和評(píng)估風(fēng)險(xiǎn)����、對(duì)風(fēng)險(xiǎn)控制現(xiàn)狀分析、選擇和制訂管理方案���、識(shí)別存在的遺留風(fēng)險(xiǎn)和正式實(shí)施ISMS��。
用于ISMS認(rèn)證的標(biāo)準(zhǔn)有ISO/IEC17799:2000和BS7799-2:1999�����。據(jù)說�����,到2003年8月15日止�����,按BS7799認(rèn)證的企業(yè)全世界共有282家�����,其中中國有5家���。英國最多,有99家�����。ISO/IEC JTC1/SC27正在對(duì)ISO/IEC17799:2000進(jìn)行修訂�����。預(yù)計(jì)2004或2005年正式發(fā)布修訂版本��。采用ISO/IE C17799建立ISMS����,并取得認(rèn)證的好處在于能夠建立完善的信息安全管理體系����,從管理角度防止信息系統(tǒng)出現(xiàn)安全事故或事件�;對(duì)外樹立信息系統(tǒng)可靠性形象,滿足顧客要求�,提高企業(yè)競爭能力。認(rèn)證的范圍適合于所有類型和規(guī)模的組織���,特別是涉及個(gè)人信息保護(hù)的組織���,例如金融、通訊����、醫(yī)療、社區(qū)管理���、電子商務(wù)和電子政務(wù)等��。
成都ISO27000信息安全管理體系認(rèn)證
云南ISO13485醫(yī)療機(jī)械管理體系認(rèn)證
重慶ISO9000質(zhì)量體系認(rèn)證
廣漢CCC消防產(chǎn)品強(qiáng)制性認(rèn)證
綿陽OHSAS18001職業(yè)健康安全管理體系認(rèn)證
德陽TS16949汽車管理體系認(rèn)證
貴州CE產(chǎn)品認(rèn)證
樂山FCC認(rèn)證
成都企標(biāo)企業(yè)管理有限公司-專業(yè)體系認(rèn)證咨詢
聯(lián)系人:周老師 聯(lián)系電話:18980962772
