- 質(zhì)量管理體系認證
- 工程建設(shè)施工企業(yè)質(zhì)量管理體系認證(50430)
- 環(huán)境管理體系認證
- 職業(yè)健康安全管理體系認證
- 能源管理體系認證
- 知識產(chǎn)權(quán)管理體系認證
- 信息安全管理體系認證
- 信息技術(shù)服務(wù)管理體系認證
- 業(yè)務(wù)連續(xù)性管理體系認證
- 隱私信息管理體系認證
- 云服務(wù)信息安全管理體系認證
- 公有云中個人身份信息保護管理體系認證
- 食品安全管理體系認證
- 危害分析與關(guān)鍵控制點(HACCP)體系認證
- 健康、安全與環(huán)境管理體系認證(HSE)
- 醫(yī)療器械質(zhì)量管理體系認證
- 企業(yè)誠信管理體系認證
- 社會責任管理體系認證
- 資產(chǎn)管理體系認證
- 合規(guī)管理體系認證
- 設(shè)施管理體系認證
- 商品售后服務(wù)認證
- 物業(yè)服務(wù)認證
- 清潔服務(wù)認證
- 生活垃圾分類服務(wù)能力認證
- 溫室氣體排放核查及碳足跡評價
- 個人身份信息保護行為準則認證
- 信息業(yè)務(wù)系統(tǒng)安全管理體系認證
- 道路交通安全管理體系認證
信息安全管理體系認證簡介
1、背景介紹
信息作為組織的重要資產(chǎn),需要得到妥善保護。但隨著信息技術(shù)的高速發(fā)展,特別是Internet的問世及網(wǎng)上交易的啟用,許多信息安全的問題也紛紛出現(xiàn):系統(tǒng)癱瘓、黑客入侵、病毒感染、網(wǎng)頁改寫、客戶資料的流失及公司內(nèi)部資料的泄露等等,這些已給組織的經(jīng)營管理、生存甚至國家安全都帶來嚴重的影響。所以,在運用現(xiàn)代信息系統(tǒng)帶來的快捷、方便的同時,如何充分防范信息的損壞和泄露,已成為當前組織迫切需要解決的問題。
俗話說“三分技術(shù)七分管理”。目前組織普遍采用現(xiàn)代通信、計算機、網(wǎng)絡(luò)技術(shù)來構(gòu)建組織的信息系統(tǒng)。但大多數(shù)組織的最高管理層對信息資產(chǎn)所面臨的威脅的嚴重性認識不足,缺乏明確的信息安全管理方針和完整的信息安全管理制度,如系統(tǒng)的運行、維護、開發(fā)等崗位不清、職責不分、存在一人身兼數(shù)職的現(xiàn)象,這些都是造成信息安全事件的重要原因;同時,缺乏系統(tǒng)的管理思想也是一個重要的問題。所以,我們需要一個系統(tǒng)的、整體規(guī)劃的信息安全管理體系,從預(yù)防控制的角度出發(fā),以確保組織的信息系統(tǒng)和業(yè)務(wù)數(shù)據(jù)的安全性。
2、標準簡介
目前,在信息安全管理體系方面,ISO/IEC 27001:2013——信息安全管理體系標準已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標準。ISO/IEC 27001:2013標準包括14個控制域、35個控制目標和114項控制措施,為組織提供全方位的信息安全保障。主要的14個控制域包括:
1) 信息安全方針和策略;
2) 信息安全組織;
3) 人力資源安全;
4) 資產(chǎn)管理;
5) 訪問控制;
6) 密碼;
7) 物理和環(huán)境安全;
8) 操作安全;
9) 通信安全;
10) 系統(tǒng)獲取、開發(fā)和維護;
11) 供應(yīng)商關(guān)系;
12) 信息安全事件管理;
13) 業(yè)務(wù)連續(xù)性管理的信息安全方面;
14) 符合性。
3、實施意義
? 有一套“量體裁衣”的信息安全管理控制措施和保護信息資產(chǎn)的制度框架。
? 形成了高層管理人員與技術(shù)負責人進行信息安全溝通的共同語言。
? 使組織將IT策略和組織發(fā)展方向統(tǒng)一起來,確保與IT相關(guān)的風險受到適當?shù)目刂啤?
? 通過方針、慣例、程序、組織結(jié)構(gòu)和軟件功能來確定控制方式并實施控制,持續(xù)提高組織信息安全管理水平。
? 降低信息安全對持續(xù)發(fā)展造成的風險,利用信息技術(shù)為組織創(chuàng)造新的戰(zhàn)略競爭機遇。
? 根據(jù)控制費用與風險平衡的原則合理選擇安全控制方式。
? 使信息風險的發(fā)生概率和結(jié)果降低到可接受水平,保持組織業(yè)務(wù)運作的持續(xù)性。
4、認證依據(jù)
ISO/IEC 27001:2022或GB/T 22080-2016/ISO/IEC 27001:2013
5、適用范圍
適用于所有類型的組織(例如:商業(yè)組織、政府機構(gòu)、非盈利組織),例如:銀行、證券、保險等金融機構(gòu);交通、能源等大型國有組織;互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)服務(wù)提供商;軟件和信息技術(shù)服務(wù)組織;公共管理、社會保障和社會組織等。