ISOISMS业务介绍_精品文档.docx
- 文档编号:1519779
- 上传时间:2022-10-22
- 格式:DOCX
- 页数:17
- 大小:880.64KB
ISOISMS业务介绍_精品文档.docx
《ISOISMS业务介绍_精品文档.docx》由会员分享,可在线阅读,更多相关《ISOISMS业务介绍_精品文档.docx(17页珍藏版)》请在冰豆网上搜索。
ISO27001认证业务常见问题
Q:
ISO27001认证是什么?
A:
ISO27001是国际标准,全名是IEC/ISO27001信息安全管理体系规范,他是整个ISO27000标准系列当中的一个标准,该系列标准中包含很多其他标准;另外一个大家常说的标准ISO1779:
2005-信息安全实施细则也是与信息安全管理相关的,这个标准当前已经改名为ISO27002:
2008了。
无论是ISO27001还是ISO27002,都是ISMS标准系列(ISMSFamilyofStandards)之一,ISMS标准系列如下图所示:
大家常说的ISO27001认证,就是企业宣称的认证范围内符合ISO27001标准正文里的所有要求,并且有选择的满足ISO27001标准附录A中的内容。
附录A中的内容对应标准ISO27002:
2008第5章到第15章,企业是可以根据自身的实际情况来选择适用的控制措施,也就是说该标准里的133个控制项不是强制要求通过认证的用户都必须满足的,通常是通过《适用性声明SOA》文件来表达这种适用,因此,通常在通过ISO27001证书里会包含所选《适用性声明SOA》文件的。
Q:
与BS7799认证有和区别?
A:
ISO27001认证和BS7799认证的区别得从ISO27001标准发展的历史谈起,ISO27001的发展过程如下图所示:
BS7799认证是指企业信息安全管理体系符合英国国家标准BS7799-2,由于BS7799具有广泛的国际认可度,在BS7799-2成为国际标准ISO27001之前,全球企业在选择信息信息安全管理体系认证时,会选择BS7799。
Q:
到目前为止,国内ISO27001认证情况发展如何?
A:
目前在国内通过ISO27001认证的企业数已经达到了199家(截至200906),尽管绝对数还不大,但是增长特别快,从下图能观其大概:
在这颁发的199张证书里,其中数DNV和BSI颁发占绝大多数,下图是各认证公司颁发证书的统计表(截止到2009年6月):
目前国内认证公司有中国信息安全认证中心(简写为ISCCC,09年5月份CNAS认可),华夏认证中心有限公司(UKAS认可,国内试点证书),广州赛宝认证中心服务有限公司(国内试点证书),中国电子技术标准化研究所(国内试点证书)四家,从公开渠道能够查询到的信息来看,截止到2009年7月20日,只有中国信息安全认证中心对外颁发了19张证书,而其他国内认证机构还没有颁出证书。
Q:
获得ISO27001认证有什么好处?
l强化意识,转变观念
üISO27001认证是一个组织证明其信息安全水平和能力符合国际标准要求的有效手段,它将帮助组织节约信息安全成本;
ü信息安全风险管理的目的是保障企业业务赖以运行IT系统的持续、稳定、安全运行,保障企业业务的连续开展,而不是为企业业务的开展横加了一道枷锁,强调安全保障以业务为中心;
ü信息安全工作应该是以IT部门为主导,全员参与的全公司范围内的活动,强调人人有责;
ü信息安全管理应该遵循风险管理的思想,强调事先防范,事中控制以及事后总结的工作思路,而不是“问题驱动”的救火思路;
ü信息安全问题的解决不应该是“头疼医头,脚疼医脚”的局部问题解决方式,强调整体、系统的分析和解决问题;
l规范操作,有法可依
ü按照PDCA的方法管理企业信息安全风险,使公司信息安全管理从“无序、零散、被动”的问题补救行为转变为“系统、科学、连贯、主动”的风险驾驭状态;
ü完善各类安全管理制度,规范了企业内部各种与信息系统、信息保密等相关的各种操作行为和方式;
l良好形象,合规要求
ü企业获得国际认证,能提升客户、业务伙伴、投资人对公司重要、以及敏感信息保护能力的信心,提高组织的公众形象和竞争力;
ü满足监管单位的合规性要求,以及合作伙伴的信息安全审核的要求;
Q:
企业初次如何开展ISO27001认证(ISMS建设)项目?
企业开展ISO27001认证时,一般都是由IT部门牵头,业务部门配合参入。
但是对于规范较小的公司,IT部门的力量非常有限,往往是由质量管理部门牵头主导项目,因为这些公司一般都有实施过管理体系认证(ISO9001或者CMMI)或者项目的经验,信息安全管理体系同质量管理体系具有较大的相似性。
前期咨询公司的参入帮助引导主导部门甚至企业领导正确认识信息安全,信息安全管理以及ISO27001认证,就本项目对信息安全的理解和目标达成一致。
这非常关键,因为这关系到项目实施过程顺利与否,以及项目目标的达成与否。
项目范围的确定在前面已经做了说明,这里不再累赘。
ISO27001项目的招标同其他项目没有区别,一般按照企业既定的招标流程走。
ISMS体系的建设实施在此也不多说,也有专门的问题。
ISMS体系认证工作一般分为两个阶段的工作,第一阶段是文件审核,这个阶段审核员只关注管理体系文件,查看体系文件是否齐全,ISMS建设的方法是否合理,文件查看的重点一般为风险评估方法,业务连续性和管理体系测量等几个方面。
第二阶段是现场审核,审核员将根据ISO27001标准的要求以及企业自身信息安全策略的要求,在认证范围内,现场核实制度的实施情况,检查运行记录是重要的审核手段。
现场审核将以末次会议的形式结束整个审核工作,如果审核员没有发现重大不符合项,审核员会在末次会议上宣布企业通过现场审核。
Q:
企业ISO27001认证的范围如何来确定?
A:
认证范围的选择将影响达到认证要求的难易度以及成本。
反过来,难易度和成本是选择认证范围的重要参考。
难易度一般由企业自身当前的信息安全管理水平决定,而成本则与企业的预算相关。
在考虑难易度和成本的基础上,企业一般会把核心业务部门以及支撑核心业务的IT部门和人力资源部门纳入认证范围。
认证范围的描述一般使用业务活动范围、地域场所、信息资产及技术来表达。
到目前为止,像比较著名的认证机构比如BSI,DNV等在国内颁发的证书一般只使用业务活动和地域场所来描述认证的管理体系范围。
Q:
企业建立符合ISO27001标准的ISMS的过程大致是怎样的?
A:
ISO27001认证实施不同咨询公司的做法也不一样,但是基本上会按照标准里的内容,从ISMS(信息安全管理体系)规划、ISMS实施与运维、ISMS监视与回顾、ISMS改进与提高四个阶段。
详细如下图解。
阶段一:
阶段二:
阶段三:
阶段四:
××公司的ISO27001认证咨询实施方法是建立在对ISO27001标准的深刻理解以及过往实践积累总结的基础上的。
ISO27001信息安全管理体系的核心是基于PDCA流程的方法。
利益伙伴,客户,股东等是信息安全需求做企业信息安全管理体系的出发点,在企业内部业务活动的开展,需要各种各样资源,包括人财物的投入,同时也必须遵守各种各样的安全制度,好的信息安全管理体系最终给利益伙伴,客户和股东带来价值。
PDCA是个周而复始的循环活动,发现问题,制定问题处理计划,实施计划,检查回顾执行的执行,监视评估实施的效果,发现不足及时改进。
企业在PDCA思路的指导下,大循环套小循环,不断推动企业信息安全管理水平提升,始终使企业信息安全风险处在可控的状态。
××公司在实践中总结出了一套辅导企业通过ISO27001认证的方法。
整个实施方法分为五个阶段,按照实施顺序分别是差距分析、资产风险评估、体系规划和实施、体系发布与试运行和协助外审,每个阶段都有关键输出。
详情请参看图-实施方法总概。
五个阶段活动都包含相应的子活动以及阶段主要成果,详细见下表:
实施阶段
关键子活动描述
阶段主要成果
现状调研
üISO27001基础培训
ü人员访谈
ü现有安全制度收集与分析
ü安全技术现场评估
üISO27001差距分析
üISO27001培训教材
ü人员访谈记录
ü制度分析报告
ü安全技术报告
ü差距分析报告
全面风险评估
ü风险评估方法培训
ü资产清点
ü威胁与弱点分析
ü风险赋值
üIT流程风险评估
ü风险评估培训材料
ü资产清单
ü资产风险表
ü风险评估报告
ISMS体系建立
ü管理体系规划
ü技术体系规划
ü风险处理计划
ü安全制度编写
ü体系规划报告
ü风险处理计划
ü安全管理制度(包括方针,规定,指南,手顺等)
ISMS体系运行
ü安全制度培训
ü信息安全内部审计
ü管理评审
ü安全制度培训材料
ü内部审计报告
ü管理评审报告
ISMS体系认证审核
ü应对外审培训
ü应对外审培训材料
Q:
企业在项目实施过程中,需要多少资源投入?
A:
企业在实施ISMS建设时,项目实施方管理层关心的除了付给咨询方的费用以外,还特别关心在ISMS建设过程中企业人员还需要投入多少人天。
总的来说,企业的人天投入不同阶段是不一样的,而且参与的人员也会有所不同,从管理层到普通员工在实施工程中都会有参与。
下面以一个范围为200人的公司实施ISMS建设为例,从ISMS项目实施的五个阶段,在不同项目阶段不同角色参与项目的单位时间来说明。
其中:
h表示小时,d表示天
Q:
如何选择认证公司?
在认证公司的选择方面大致可以分为国际公司和国内公司,企业如果有涉及到出口,离岸外包等国际业务时,建议选择国际认证公司;如果企业业务仅仅涉及限于国内客户,且企业自身要满足国内监管方信息安全监管要求,建议选择国内认证公司。
国内认证公司由于在开展ISO27001认证的业务起步较国际认证公司晚几年,因而在客户认可性方面比起国际认证公司要稍微差些。
国内企业选择国际认证公司时间,一般选择BSI和DNV较多,国内认证公司目前只有中国信息安全认证中心正式被中国合格评定国家认可委员会(简称认可委)正式认可,而其他三家(赛宝认证中心,华夏认证中心,中国电子技术标准化研究所)目前(截止2009年6月)还是颁发试点证书。
Q:
企业获得ISO27001认证之后,在应对认证公司审核还需要做哪些工作?
A:
ISO27001证书一般都是3年有效期,3年过后,必须历经一次全面审核,由认证公司重新颁发证书。
在认证注册资格后,在三年有效期内,将接受乙方3次定期监督审核及必要的不定期审查。
其中,获证之日起6个月安排首次监督审核,其后监督审核间隔不得超过12个月,有异常情况时酌情增加监督审核的频次。
因此,企业必须仍然按照标准PDCA的要求,不断发现或回顾信息安全风险状况。
Q:
如何成来保证一个ISMS项目的成功,这些成功因素主要包括哪些?
a)项目范围内相关部门以及各层领导就项目的目标理解一致。
b)信息安全策略必须要反映企业的业务目标。
制定的安全策略是规范员工的行为,更好的服务企业,为企业业务目标的达成提供信息安全的保障,安全策略不能与业务目标相违背,更不能成为业务开展的绊脚石。
c)实施过程与方法要与企业的文化保持一致。
项目实施过程中,需要顾问与企业人员不断的沟通和交流,这些交流方式要与企业当前的企业文化相一致。
d)来自管理层可见的支持以及承诺。
管理层需要在项目的各个关键节点,如项目里程碑参加会议,公开表明态度,并保障必要的人力以及财力支持。
e)为员工提供适当的培训和教育
f)易理解且一致的度量系统以评估信息安全的效能。
安全控制的效果如何是能够通过一种从公司管理层到普通员工所有成员都理解的方式来衡量。
就如人身体的好坏能够通过血压,脉搏等等指标就能知道。
g)自动化的安全策略管理工具的使用。
需要有一个工具来自动的管理当前的安全策略,员工也能够通过这个工具,快速查找到他需要的安全制度。
Q:
ISMS的范围确定之后,如何来解决范围之外的一些信息安全问题呢?
A:
企业内部面临信息安全问题的时候,目前虽然不是以前上某种安全产品就解决一切问题的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISOISMS 业务 介绍 精品 文档