|
|
|
|
|
|
為什么選擇TISAX? 或者更確切地說,你為什么在看這篇文章? 為了回答這個(gè)問題,我們從通常來看是關(guān)注商業(yè)經(jīng)營,尤其是信息的保護(hù)。 想象一下你的搭檔。他有機(jī)密信息。他想和他的供應(yīng)商——你分享。你和你的合作伙伴之間的合作創(chuàng)造了價(jià)值。合作伙伴與您共享的信息是創(chuàng)造價(jià)值的重要組成部分。因此,他想適當(dāng)?shù)乇Wo(hù)它。他想確保你同樣謹(jǐn)慎地處理他的信息。 但他怎么能確定他的信息可以被你妥當(dāng)?shù)谋9苣兀克荒軆H僅是“相信”你。你的搭檔需要看一些證據(jù)。 現(xiàn)在有兩個(gè)問題。誰定義了信息“安全”處理的意義?接下來,你如何證明這一點(diǎn)? 你的搭檔和你都不是第一次面對這些問題的唯一一人。幾乎每個(gè)人都必須找到答案,而且大多數(shù)答案都有相似之處。 每次您必須獨(dú)立地為一個(gè)常見問題創(chuàng)建一個(gè)解決方案時(shí),如果有一種標(biāo)準(zhǔn)的方法,就可以減輕從頭開始創(chuàng)建所有東西的負(fù)擔(dān)。雖然定義一個(gè)標(biāo)準(zhǔn)是一項(xiàng)巨大的工作,但它只做了一次,而且它的追隨者每次都從中受益。 對于保護(hù)信息的正確做法,肯定有不同的看法。但是,由于上述好處,大多數(shù)公司都樂于采用標(biāo)準(zhǔn)。標(biāo)準(zhǔn)是針對給定挑戰(zhàn)的所有經(jīng)過驗(yàn)證和時(shí)...
? ISO20000的IT服務(wù)管理體系咨詢服務(wù)
ISO20000是第一部針對信息技術(shù)服務(wù)管理(IT Service Management)領(lǐng)域的國際標(biāo)準(zhǔn),它于2005年12月15日發(fā)布。作為認(rèn)證組織的IT運(yùn)營和服務(wù)管理水平的國際標(biāo)準(zhǔn),IT服務(wù)管理國際標(biāo)準(zhǔn)ISO/IEC 20000-1:2011新版于2011年4月12日正式發(fā)布,新版融入了ISO20000至2005年發(fā)布以來業(yè)界的實(shí)踐經(jīng)驗(yàn)(截止目前,中國已有100多家企業(yè)通過了相關(guān)認(rèn)證)和行業(yè)新的變化(云計(jì)算、綠色I(xiàn)T新技術(shù)新理念的出現(xiàn),ITILv3、ISO9000改版、ISO27000等的改版),從整體到細(xì)節(jié)對ISO/IEC 20000-1:2005版進(jìn)行了修訂 ISO20000具體規(guī)定了IT服務(wù)管理行業(yè)向企業(yè)及其客戶有效地提供服務(wù)的、一體化的管理過程以及過程建立的相關(guān)要求,幫助識別和管理IT服務(wù)的關(guān)鍵過程,保證提供有效的IT服務(wù)以滿足客戶和業(yè)務(wù)的需求。它著重于通過“IT服務(wù)標(biāo)準(zhǔn)化”來管理IT問題,即將IT問題歸類,識別問題的內(nèi)在聯(lián)系,然后依據(jù)服務(wù)級別協(xié)議進(jìn)行計(jì)劃、管理和監(jiān)控,并強(qiáng)調(diào)與客戶的溝通。 l 什么是IT服務(wù)管理 IT服務(wù)管理作為一個(gè)新興的領(lǐng)域受到人們?nèi)找鎻V泛的關(guān)注,在其發(fā)展過程中也出現(xiàn)了多種定義。 世界IT領(lǐng)域的權(quán)威研究機(jī)構(gòu)加特納認(rèn)為,IT服務(wù)管理是一套通過服務(wù)級別協(xié)議(SLA)來保證IT服務(wù)質(zhì)量的協(xié)同流程,它融合了系統(tǒng)管理、...
信息安全發(fā)展至今,人們越來越認(rèn)識到安全管理在整個(gè)信息安全建設(shè)過程中的重要性,而作為信息安全管理方面最著名的國際標(biāo)準(zhǔn)——ISO/IEC 27001(即之前所稱的BS7799標(biāo)準(zhǔn)),則成為可以指導(dǎo)我們現(xiàn)實(shí)工作的最好的參照,它也是認(rèn)證審核的標(biāo)準(zhǔn)。 信息安全管理實(shí)用規(guī)則ISO/IEC27001的前身為英國的BS7799標(biāo)準(zhǔn),該標(biāo)準(zhǔn)由英國標(biāo)準(zhǔn)協(xié)會(BSI)于1995年2月提出,并于1995年5月修訂而成的。2000年,國際標(biāo)準(zhǔn)化組織(ISO)在BS7799-1的基礎(chǔ)上制定通過了ISO 17799標(biāo)準(zhǔn)。BS7799-2在2002年也由BSI進(jìn)行了重新的修訂。ISO組織在2005年對ISO 17799再次修訂,BS7799-2也于2005年被采用為ISO/IEC 27001:2005。ISO組織在2013年再次進(jìn)行改版,發(fā)布了ISO/IEC 27001:2013版. ISO/IEC 27001標(biāo)準(zhǔn),旨在規(guī)范、引導(dǎo)信息安全管理體系的發(fā)展過程和實(shí)施情況。ISO/IEC 27001標(biāo)準(zhǔn)被外界認(rèn)為是一個(gè)不偏向任何技術(shù)、任何企業(yè)和產(chǎn)品供應(yīng)商的價(jià)值中立的管理體系。只要實(shí)施得當(dāng),ISO/IEC 27001標(biāo)準(zhǔn)將幫助企業(yè)檢查并確認(rèn)其信息安全管理手段和實(shí)施方案的有效性。從企業(yè)外部來看,ISO/IEC 27001關(guān)注信息的可用性、機(jī)密性和完整性,至今這仍然是這項(xiàng)標(biāo)準(zhǔn)致力達(dá)到的目標(biāo)。 l 什么是信息安全管理 ISO/IEC 27001標(biāo)準(zhǔn),為建...
? ISO22301的業(yè)務(wù)連續(xù)性管理體系咨詢服務(wù)
當(dāng)前,由于自然災(zāi)害及人為事故頻繁發(fā)生,企業(yè)業(yè)務(wù)運(yùn)作的不確定性和風(fēng)險(xiǎn)大幅度增加,而加強(qiáng)企業(yè)的業(yè)務(wù)連續(xù)性管理則成為打造最佳企業(yè)應(yīng)急預(yù)案的必然選擇。為了滿足企業(yè)對統(tǒng)一的業(yè)務(wù)連續(xù)性管理國際標(biāo)準(zhǔn)的需求,ISO公共安全技術(shù)委員會ISO/TC 223,制定了ISO 22301:2012《公共安全—業(yè)務(wù)連續(xù)性管理體系-要求》標(biāo)準(zhǔn)。該國際標(biāo)準(zhǔn)采納了全球利益相關(guān)方、合作者等各方意見和建議,于2012年發(fā)布實(shí)施。 ISO 22301:2012致力于使公共或私有部門的組織更具有適應(yīng)性,其管理體系框架能夠幫助企業(yè)制定一套一體化的管理流程計(jì)劃,使企業(yè)對潛在的災(zāi)難加以辨別分析,幫助其確定可能發(fā)生的沖擊對企業(yè)的運(yùn)作造成的威脅,并提供一個(gè)有效的管理機(jī)制來阻止或抵消這些威脅,減少災(zāi)難事件給企業(yè)帶來的損失。 什么是ISO22301業(yè)務(wù)連續(xù)性管理體系 ISO22301:2012《公共安全—業(yè)務(wù)連續(xù)性管理體系-要求》將幫助所有的組織,無論其規(guī)模大小、地域或開展的活動(dòng)如何,在處理任何類型的風(fēng)險(xiǎn)時(shí)能更好地應(yīng)對并更具信心。 在任何時(shí)候事故都能使組織的業(yè)務(wù)中斷,采用ISO 22301標(biāo)準(zhǔn)將保證組織能夠應(yīng)對事故并保證其業(yè)務(wù)的持續(xù)運(yùn)行。事故發(fā)生有多種類型,從嚴(yán)重的...
? 安全運(yùn)維服務(wù)資質(zhì)咨詢服務(wù)
隨著我國信息化和信息安全保障工作的不斷深入推進(jìn),以應(yīng)急處理、風(fēng)險(xiǎn)評估、災(zāi)難恢復(fù)、系統(tǒng)測評、安全運(yùn)維、安全審計(jì)、安全培訓(xùn)和安全咨詢等為主要內(nèi)容的信息安全服務(wù)在信息安全保障中的作用日益突出。加強(qiáng)和規(guī)范信息安全服務(wù)資質(zhì)管理已成為信息安全管理的重要基礎(chǔ)性工作。安言咨詢對于這方面內(nèi)容提供專業(yè)的咨詢服務(wù)。 一、信息安全服務(wù)資質(zhì)簡介 信息安全服務(wù)資質(zhì)是信息安全服務(wù)機(jī)構(gòu)提供安全服務(wù)的一種資格,包括法律地位、資源狀況、管理水平、技術(shù)能力等方面的要求。信息安全服務(wù)資質(zhì)認(rèn)證是依據(jù)國家法律法規(guī)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和技術(shù)規(guī)范,按照認(rèn)證基本規(guī)范及認(rèn)證規(guī)則,對提供信息安全服務(wù)機(jī)構(gòu)的信息安全服務(wù)資質(zhì)進(jìn)行評價(jià)。 應(yīng)急處理服務(wù)是對影響計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全的不當(dāng)行為(事件)進(jìn)行標(biāo)識、記錄、分類和處理,直到受影響的業(yè)務(wù)恢復(fù)正常運(yùn)行的過程。(用1799概述里面一段一句的內(nèi)容) 風(fēng)險(xiǎn)評估服務(wù)是從風(fēng)險(xiǎn)管理角度,運(yùn)用科學(xué)的方法和手段,系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護(hù)對策和整改措施,以求防范和化解信息安全風(fēng)險(xiǎn),或?qū)L(fēng)險(xiǎn)控制在可接受的水...
? 風(fēng)險(xiǎn)評估服務(wù)資質(zhì)咨詢服務(wù)
隨著我國信息化和信息安全保障工作的不斷深入推進(jìn),以應(yīng)急處理、風(fēng)險(xiǎn)評估、災(zāi)難恢復(fù)、系統(tǒng)測評、安全運(yùn)維、安全審計(jì)、安全培訓(xùn)和安全咨詢等為主要內(nèi)容的信息安全服務(wù)在信息安全保障中的作用日益突出。加強(qiáng)和規(guī)范信息安全服務(wù)資質(zhì)管理已成為信息安全管理的重要基礎(chǔ)性工作。安言咨詢對于這方面內(nèi)容提供專業(yè)的咨詢服務(wù)。 一、信息安全服務(wù)資質(zhì)簡介 信息安全服務(wù)資質(zhì)是信息安全服務(wù)機(jī)構(gòu)提供安全服務(wù)的一種資格,包括法律地位、資源狀況、管理水平、技術(shù)能力等方面的要求。信息安全服務(wù)資質(zhì)認(rèn)證是依據(jù)國家法律法規(guī)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和技術(shù)規(guī)范,按照認(rèn)證基本規(guī)范及認(rèn)證規(guī)則,對提供信息安全服務(wù)機(jī)構(gòu)的信息安全服務(wù)資質(zhì)進(jìn)行評價(jià)。 應(yīng)急處理服務(wù)是對影響計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全的不當(dāng)行為(事件)進(jìn)行標(biāo)識、記錄、分類和處理,直到受影響的業(yè)務(wù)恢復(fù)正常運(yùn)行的過程。(用1799概述里面一段一句的內(nèi)容) 風(fēng)險(xiǎn)評估服務(wù)是從風(fēng)險(xiǎn)管理角度,運(yùn)用科學(xué)的方法和手段,系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護(hù)對策和整改措施,以求防范和化解信息安全風(fēng)險(xiǎn),或?qū)L(fēng)險(xiǎn)控制在可接受的水...
