杭州ISO27001认证标准

ISO27001介绍
一、ISO27001是有关信息安全管理的国际标准。初源于英国标准BS7799，经过十年的不断改版，终于在2005年被国际标准化组织（ISO）转化为正式的国际标准，于2005年10月15日发布为ISO/IEC 27001:2005。该标准可用于组织的信息安全管理体系的建立和实施，**组织的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面系统
二、ISO27001的优势
1）通过定义、评估和控制风险，确保经营的持续性和能力
2）减少由于合同违规行为以及直接触犯法律法规要求所造成的责任
3）通过遵守国际标准提高企业竞争能力，提升企业形象
4）明确定义所有组织的内部和外部的信息接口目标：谨防数据的误用和丢失
5）建立安全工具使用方针
6）谨防技术诀窍的丢失
7）在组织内部增强安全意识
8）可作为公共会计审计的证据
三、ISO27001认证的办理时间：配合好的情况下，3-4个月*
四、认证iso27000的多少
关于是要根据贵公司的实际情况经过诊断后才知道的，有贵也有*的
ISO27001认证的目的
1.信息安全教育与培训
⑴信息安全教育培训目的：
a.满足客户和法律法规要求的重要性。
b.违反相关要求所造成的后果。
c.自己从事的工作与信息安全的相关性。
d.鼓励员工参与信息安全管理，为实现信息安全目标做出贡献。
⑵信息安全教育培训对象：
人力资源部及相关部门应在在职员工（新员工、在岗员工、转岗员工）被授予访问权限之前，依据其安全角色和职责，进行针对性的安全教育和安全培训；
人力资源部及相关部门应当确定与信息安全相关的临时雇用人员、客户以及合作方等第三方人员是否需要适当的安全培训。
⑶信息安全教育培训内容：
在信息安全策略、制度和规定发生变化后，信息安全小组要保证及时传达给的全体员工、客户和合作方等第三方人员。
信息安全教育培训内容如下：
a.信息安全基础知识（安全意识）、岗位操作规程、信息系统使用规范；
b.公司信息安全方针、策略与信息安全目标的宣贯培训；
c.信息安全专题培训（如病毒防范培训、访问控制培训、等级保护培训等）；
d.岗位安全责任、操作技能及相关技术；
e.违反违背安全策略和安全规定的惩戒措施。
⑷信息安全教育培训记录及考核
由人力资源部统一记录信息安全培训的人员、时间、地点、教师、内容等信息。对于课堂培训内容可根据需要进行必要的考核，以评价员工的学习效果，同时也作为培训记录由人力资源部统一存档备案。

ISO27001认证对于数据的敏感
1、一级：重要敏感数据， 包括公司数据资产，主要用于公司直接营收的数据，如提交给客户的客探结果数据，泄露会造成直接经济损失。公司核心数据，经过加工的数据，有全方面的数据信息，需要严格管理，如客户肖像库，信息库，客户方提供的需要通过业务平台操作的数据，泄露后对公司可能造成全面损失。这些数据被非法复制传播后，可造成经济上的重大损失和引发重大安全事故及涉诉事件。由所涉及到的部门人员：服务部、如涉及数据由部共同承担安全管理责任。标记为D1。主要包括：
 业务结果数据
 客户信息数据
 系统或网络安全控制配置数据，防火墙数据
 业务帐号安全配置数据
 业务运行配置数据
 敏感客户业务原始数据
 录音记录数据
 帐目数据
 其他敏感信息数据
2、二级：非敏感重要数据，包括公司系统数据，由各种公司系统产生出的原始数据，限制范围使用，泄露对公司有可能造成某方面损失。如启通宝系统通话记录，客探系统记录，被非法复制传播或丢失、损坏后，可造成一定的经济损失或引发客户投诉事件。由所涉及到的部门人员：服务部承担安全管理责任。标记为D2。主要包括：
 业务过程数据
 启通宝通话记录
 客探系统数据
 系统运行日志数据
 其他重要数据
3、：公司内部非敏感数据及第三方非敏感数据，不对外公开，但公开对公司无损失的信息，如话术列表、在项目施工中或开发测试中涉及到的客户方提供的测试数据或业务数据。由所涉及到的部门人员：服务部、测试部，销售部，研发部共同承担安全管理责任。标记为D3。主要包括：
 员工通讯录
 话述信息数据
 系统测试业务数据
 项目施工测试数据
 项目施工过程数据
 销售业绩数据
 其他非敏感数据

内部组织及沟通
1) 信息安全工作小组组织各个部门通过公告、内部网络、宣传物品、活动、通告、会议及培训把有关信息安全方面的政策及其它事项传达予各员工；
2) 员工对公司信息安全管理体系有任何意见可向其部门主管或其所在部门信息安全员建议、投诉；部门主管或信息安全员将员工的意见分类后向信息安全工作小组反映并填写《信息安全管理体系意见表》，信息安全工作小组联同各部门按此表格进行跟进并进行有关调查；
3) 信息安全工作小组负责收集和汇总《机构及特定利益团体联系表》的信息。
4) 信息安全管理体系的管理评审结果应由信息安全工作小组向各部门负责人员讲解及监察其执行情况；
5) 信息安全工作小组联同各部门建立及维护信息安全管理体系的文件控制制度；
6) 每月召开安全例会，传达公司安全精神和公司内部信息安全相关工作；
7) 员工有关于信息安全管理体系方面的建议和问题可以通过email直接发邮件

业务风险等级评估
1) 通过对主营业务及信息系统的全面分析，梳理出重要信息资产的清单。
2) 各部门评估人员针对《信息安全风险评估表》下的《资产清单》中的重要信息资产进行风险评估, 评估主要考虑威胁事件发生的可能性和威胁事件发生后对信息资产造成的影响程度，从而判断对业务的影响。
3) 各部门评估人员按照《赋值说明》对每一项资产的保密性、可用性、完整性和与业务影响度进行赋值，并得出资产价值。资产价值大于等于4为重要信息资产。
4) 各部门评估人员根据资产本身所处的环境条件,参考《信息安全风险评估表》中的《威胁、脆弱性推荐对照表》以及在现状调研阶段分析出的内容，识别重要信息资产所面临的脆弱性及对应的威胁，及针对各威胁目前已有的控制措施；
5) 在考虑现有的控制前提下，参考《赋值说明》判断每项信息资产所面临威胁发生的可能性，判断薄弱点程度等级，分别赋1-5的值；
6) 《信息安全风险评估表》将自动结合资产的价值，威胁值和脆弱性的值，计算出业务风险的等级。
7) 信息安全管理小组考虑本公司整体的信息安全要求，对各部门填写的《信息安全风险评估表》进行审核，确保风险评估水平的一致性，确保没有遗漏重要信息安全风险。如果对评估结果进行修改，应该和关键活动或信息系统的责任部门进行沟通并获得该部门的确认。
信息安全管理体系标准（ISO27001认证）可有效??保护信息资源,保护信息化进程健康、有序、可持续发展。
ISO27001是信息安全领域的管理体系标准，类似于质量管理体系认证的 ISO9000标准。当您的组织通过了ISO27001认证,就相当于通过ISO9000的质量认证一般，表示您的组织信息安全管理已建立了一套科学有效的管理体系作为**。ISO27001认证——信息安全管理体系(ISO27001 Information security management system)这是在世界上公认解决信息安全的有效方法。由1998年英国发起的信息安全管理体系制定信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。
认证好处：
1、引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效。保证信息安全不是仅有一个防火墙，或找一个提供信息安全服务的公司就可以达到的。它需要全面的综合管理。
2、通过进行ISO27001信息安全管理体系认证，可以增进组织间电子商务往来的信用度，能够建立起和贸易伙伴之间的互相信任，随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益，并为广大用户和服务提供商提供一个基础的设备管理。同时，把组织的干扰因素降到小，创造更大收益。
3、通过认证能保证和组织所有的部门对信息安全的承诺。
4、通过认证可改善全体的业绩、消除不信任感。
4、建立持续改进的服务管理机制，快速应对市场需求，提供客户满意度。
5、获得国际认可的机构的认证，可得到国际上的承认，拓展您的业务。
6、建立信息安全管理体系能降低这种风险，通过第三方的认证能增强投资者及其他利益相关方的投资信心。
7、组织按照ISO27001标准建立信息安全管理体系，会有一定的投入，但是若能通过认证的审核，获得认证，将会获得有价值的回报。
企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在**内的地位;定期的监督审核将确保组织的信息系统不断地被监督和改善，并以此作为增强信息安全性的依据,信任、信用及信心,使客户及利益相关方感受到组织对信息安全的承诺。通过认证能够向及行管部门组织对相关法律法规的符合性。
http://iso9001fsc1.b2b168.com