广州ISO27001认证咨询

ISO27001 信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新了该标准。BS7799分为两个部分：BS7799-1，信息安全管理实施规则BS7799-2，信息安全管理体系规范。部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；*二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据立组织的需要应实施安全控制的要求。
ISO27001认证好处：
1.符合法律法规要求
的获得，可以向机构表明，组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。
2.维护企业的声誉、和客户信任
的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。
3.履行信息安全管理责任
的获得，本身就能组织在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任。
4.增强员工的意识、责任感和相关技能
的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。
5.保持业务持续发展和竞争优势
全面的信息安全管理体系的建立，意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护，并且建立有效的业务持续性计划框架，提升了组织的核心竞争力。
6.实现风险管理
有助于更好地了解信息系统，并找到存在的问题以及保护的办法，保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作。
7.减少损失，降低成本
ISMS的实施，能降低因为潜在安全事件发生而给组织带来的损失，在信息系统受到侵袭时，能确保业务持续开展并将损失降到低程度
业务风险等级评估
1) 通过对主营业务及信息系统的全面分析，梳理出重要信息资产的清单。
2) 各部门评估人员针对《信息安全风险评估表》下的《资产清单》中的重要信息资产进行风险评估, 评估主要考虑威胁事件发生的可能性和威胁事件发生后对信息资产造成的影响程度，从而判断对业务的影响。
3) 各部门评估人员按照《赋值说明》对每一项资产的保密性、可用性、完整性和与业务影响度进行赋值，并得出资产价值。资产价值大于等于4为重要信息资产。
4) 各部门评估人员根据资产本身所处的环境条件,参考《信息安全风险评估表》中的《威胁、脆弱性推荐对照表》以及在现状调研阶段分析出的内容，识别重要信息资产所面临的脆弱性及对应的威胁，及针对各威胁目前已有的控制措施；
5) 在考虑现有的控制前提下，参考《赋值说明》判断每项信息资产所面临威胁发生的可能性，判断薄弱点程度等级，分别赋1-5的值；
6) 《信息安全风险评估表》将自动结合资产的价值，威胁值和脆弱性的值，计算出业务风险的等级。
7) 信息安全管理小组考虑本公司整体的信息安全要求，对各部门填写的《信息安全风险评估表》进行审核，确保风险评估水平的一致性，确保没有遗漏重要信息安全风险。如果对评估结果进行修改，应该和关键活动或信息系统的责任部门进行沟通并获得该部门的确认。

ISO27001认证:
1. 目的和范围
为了规定公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估本公司的信息安全风险，选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持业务持续性发展，以满足信息安全管理方针的要求，特制订本制度。
本制度适用信息安全管理体系范围内信息安全风险评估活动。
2. 引用文件
1) 下列文件中的条款通过本制度的引用而成为本制度的条款。凡是注日期的引用文件，其随后所有的修（不包括勘误的内容）或修订版均不适用于本制度，然而，鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件，其版本适用于本制度。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
4) ISO/IEC 27005:2008《信息技术-安全技术-风险管理》
5) 《GB/T 20984-2007信息安全风险评估指南》
3. 职责和权限
1) 信息安全管理小组：负责汇总确认《信息安全风险评估表》，并根据评估结果形成《信息安全风险评估报告》和《余风险批示报告》。
2) 公司全体员工：在信息安全管理小组协调下，负责本部门使用或管理的资产的识别和风险评估；负责本部门所涉及的资产的具体安全控制工作。信息安全管理员在本部门信息资产发生变更时，需要及时清点和评估，并报送信息安全管理小组更新《信息安全风险评估表》。

不可接受风险的确定和处理
1) 针对所有的中级以上（包括中级）风险，各责任部门采取有效安全控制措施，确保所采取的控制措施是充分的，直到其风险降至可接受为止。
2) 在实际的控制措施执行后，信息安全管理小组及各部门评估人员根据实际措施的执行效果，重新评估资产的威胁值和脆弱性值，从而计算出关键活动的余风险。
3) 信息安全管理小组：根据风险评估以及处置的结果编制《信息安全风险评估报告》，陈述本公司信息安全管理现状及余风险状况。
4) 对于不进行处置的风险及余风险仍处于中级以上（包括中级）的风险，由信息安全管小组完成《余风险批示报告》，《余风险批示报告》需经过公司管理者批准通过，才能接受余风险。

ISO27001认证:
1. 风险识别
通过进行风险识别活动，识别了以下内容：
1) 识别了信息安全管理体系范围内的资产及其责任人；
2) 识别了资产所面临的威胁；
3) 识别了可能被威胁利用的脆弱点；
4) 识别了丧失保密性、完整性和可用性可能对资产造成的影响。
2.  风险估计与评价
1) 通过对资产的保密性（C）、完整性（I）、可用性（A）及业务影响度（BI）赋值对公司资产丧失CIA（BI）所造成的后果进行了判断。
 资产赋值常常是很困难的，因为需要对某些资产进行客观的赋值，但不同的人员可能做出不同的判断。应该用明确的术语，通过书面形式描述作为每一资产赋值基础的准则。用于判断资产价值的可能准则包括：
a) 资产的原始价值；
b) 替代或重建的成本；
c) 资产的抽象价值，如组织声誉的价值；
d) 由事件导致资产丧失保密性、完整性和可用性所带来的成本。如果适用、还应该考虑不可否认性、可审计性、真实性和可靠性；
e) 资产的其他资产依赖性价值。
申请ISO27001认证的条件：
1. 中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件；外国企业持有关机构的登记注册。
2. 申请方的信息安全管理体系已按ISO/IEC27001:2005标准的要求建立，并实施运行3个月以上。
3. 至少完成一次内部审核，并进行了管理评审。
4. 信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
申请ISO27001认证的材料：
1、组织法律文件，如营业执照及年检复印件(盖公章);
2、组织机构代码复印件、税务登记证复印件(盖公章);
3、申请认证组织的信息安全管理体系有效运行的文件(如体系文件发布控制表，有时间标记的记录等复印件);
4、申请组织的简介：
1) 组织简介(1000字左右);
2) 申请组织的主要业务流程;
3) 组织机构图或职能表述文件;
5、申请组织的体系文件，需包含但不于(可以合并)：
1) 信息安全管理体系ISMS方针文件;
2) 风险评估程序;
3) 适用性声明;
4) 风险处理程序;
5) 文件控制程序;
6) 记录控制程序;
7) 内部审核程序;
8) 管理评审程序;
9) 纠正措施与预防措施程序;
10) 控制措施有效性的测量程序;
11) 职能角色分配表;
12) 整个体系文件结构与清单。
6、申请组织体系文件与GB/T22080-2008/ISO/IEC 27001:2005要求的文件对照说明;
7、申请组织内部审核和管理评审的资料;
8、申请组织记录保密性或敏感性声明;
9、认证机构要求申请组织提交的其他补充资料。
http://iso9001fsc1.b2b168.com