ISO27001的信息安全管理體系咨詢服務(wù)

來源：    發(fā)布日期：2015.01.30   點(diǎn)擊量：

信息安全發(fā)展至今，人們越來越認(rèn)識到安全管理在整個信息安全建設(shè)過程中的重要性，而作為信息安全管理方面最著名的國際標(biāo)準(zhǔn)——ISO/IEC 27001（即之前所稱的BS7799標(biāo)準(zhǔn)），則成為可以指導(dǎo)我們現(xiàn)實(shí)工作的最好的參照，它也是認(rèn)證審核的標(biāo)準(zhǔn)。

信息安全管理實(shí)用規(guī)則ISO/IEC27001的前身為英國的BS7799標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)由英國標(biāo)準(zhǔn)協(xié)會（BSI）于1995年2月提出，并于1995年5月修訂而成的。2000年，國際標(biāo)準(zhǔn)化組織（ISO）在BS7799-1的基礎(chǔ)上制定通過了ISO 17799標(biāo)準(zhǔn)。BS7799-2在2002年也由BSI進(jìn)行了重新的修訂。ISO組織在2005年對ISO 17799再次修訂，BS7799-2也于2005年被采用為ISO/IEC 27001:2005。ISO組織在2013年再次進(jìn)行改版，發(fā)布了ISO/IEC 27001:2013版.

ISO/IEC 27001標(biāo)準(zhǔn)，旨在規(guī)范、引導(dǎo)信息安全管理體系的發(fā)展過程和實(shí)施情況。ISO/IEC 27001標(biāo)準(zhǔn)被外界認(rèn)為是一個不偏向任何技術(shù)、任何企業(yè)和產(chǎn)品供應(yīng)商的價(jià)值中立的管理體系。只要實(shí)施得當(dāng)，ISO/IEC 27001標(biāo)準(zhǔn)將幫助企業(yè)檢查并確認(rèn)其信息安全管理手段和實(shí)施方案的有效性。從企業(yè)外部來看，ISO/IEC 27001關(guān)注信息的可用性、機(jī)密性和完整性，至今這仍然是這項(xiàng)標(biāo)準(zhǔn)致力達(dá)到的目標(biāo)。

l  什么是信息安全管理

ISO/IEC 27001標(biāo)準(zhǔn)，為建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全管理體系提出了模型，其中詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)的要求，指出實(shí)施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)。作為一套管理標(biāo)準(zhǔn)，ISO/IEC 27001指導(dǎo)相關(guān)人員怎樣去應(yīng)用ISO/IEC 27001，其最終目的，還在于建立適合企業(yè)需要的信息安全管理系統(tǒng)。

ISO/IEC 27001標(biāo)準(zhǔn)，定義了14個安全域和114個安全控制措施項(xiàng)。如下：

ISO/IEC 27001標(biāo)準(zhǔn)要求的建立ISO/IEC 27001框架的過程：制定信息安全策略，確定體系范圍，明確管理職責(zé)，通過風(fēng)險(xiǎn)評估確定控制目標(biāo)和控制方式。體系一旦建立，組織應(yīng)該實(shí)施、維護(hù)和持續(xù)改進(jìn)ISO/IEC 27001，保持體系的有效性。

   如何實(shí)施基于ISO27001標(biāo)準(zhǔn)的信息服務(wù)管理體系

ISO27001管理體系咨詢方法論

——分析階段

通過前期的項(xiàng)目準(zhǔn)備，使企業(yè)領(lǐng)導(dǎo)能充分的支持與授權(quán)相應(yīng)人員進(jìn)行信息安全的建設(shè)，并且通過安全意識的培訓(xùn)，使企業(yè)項(xiàng)目人員逐步了解信息安全管理相關(guān)的知識并樹立信息安全管理的理念

安言咨詢將于企業(yè)主要人員一起，對企業(yè)業(yè)務(wù)目標(biāo)進(jìn)行分析。同時(shí)客觀準(zhǔn)確地評估信息安全管理現(xiàn)狀、進(jìn)行差距分析、評價(jià)安全管理成熟度，為后續(xù)風(fēng)險(xiǎn)評估和建立管理體系打下基礎(chǔ)。

風(fēng)險(xiǎn)評估工作是風(fēng)險(xiǎn)管理的基礎(chǔ)，同時(shí)也是建立企業(yè)信息安全管理體系的重要工作，風(fēng)險(xiǎn)評估工作主要是安言咨詢對企業(yè)信息安全現(xiàn)狀從技術(shù)與管理方面進(jìn)行評估，同時(shí)與ISO27001的標(biāo)準(zhǔn)及結(jié)合各類內(nèi)外部監(jiān)管要求進(jìn)行差距對比，并確定企業(yè)今后風(fēng)險(xiǎn)評估方法。

——實(shí)現(xiàn)階段

ISO/IEC 27001把 信息安全管控的工作內(nèi)容劃分為 14個安全控制域。這就要求項(xiàng)目組在項(xiàng)目實(shí)施階段將ISO/IEC 27001的組織架構(gòu)進(jìn)行優(yōu)化從而更有效、合理分配人員職責(zé)。人員職責(zé)分配是項(xiàng)目和后續(xù)運(yùn)行成功的基礎(chǔ)。因此安言咨詢首先協(xié)助建立合理的項(xiàng)目組織及職責(zé)分配，這是成功的基礎(chǔ)和組織保證。

安言咨詢咨詢配合企業(yè)根據(jù)國際信息安全管理標(biāo)準(zhǔn)ISO27001標(biāo)準(zhǔn)，在體系范圍內(nèi)建立完整的信息安全管理體系，達(dá)到動態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預(yù)防為主的信息安全管理方式。主要是制定風(fēng)險(xiǎn)處置計(jì)劃、ISMS一、二級文件體系修訂設(shè)計(jì)、體系文件編制輔導(dǎo)、內(nèi)審與管理評審工作的指導(dǎo)。

——運(yùn)行階段

為了確保體系試運(yùn)行的效果，安言咨詢采取“先培訓(xùn)、后指導(dǎo)再推”工作思路使相關(guān)人員全面參與到體系的試運(yùn)行過程中，同時(shí)建立暢通反饋渠道不斷收集意見和建議，然后根據(jù)這些意對體系進(jìn)行優(yōu)化調(diào)整使有效運(yùn)落實(shí)。

——認(rèn)證階段

安言咨詢?yōu)槠髽I(yè)培訓(xùn)迎審技巧及注意事項(xiàng)，然后由安言咨詢項(xiàng)目經(jīng)理和咨詢顧問，和客戶方項(xiàng)目組配合第三方認(rèn)證機(jī)構(gòu)進(jìn)行第一階段的認(rèn)證審核，咨詢機(jī)構(gòu)協(xié)助通過并整改不符合項(xiàng)。完成后安排第三方認(rèn)證機(jī)構(gòu)的第二階段注冊審核，全面協(xié)助企業(yè)通過現(xiàn)場認(rèn)證。

  實(shí)施基于ISO27001標(biāo)準(zhǔn)的信息安全管理體系的必要性

ISO27001不僅是目前國際上最權(quán)威的信息安全管理體系標(biāo)準(zhǔn)，更重要的是它為企業(yè)的信息安全管理體系實(shí)施和落地提供了非常優(yōu)秀的管理控制方法和風(fēng)險(xiǎn)評估理念。因此，企業(yè)需要在不斷滿足和更新相關(guān)安全技術(shù)產(chǎn)品的同時(shí)，不斷反思和持續(xù)改進(jìn)內(nèi)部的安全管理科學(xué)性、有效性和適宜性，同時(shí)掌握正確的信息安全風(fēng)險(xiǎn)評估技能保持風(fēng)險(xiǎn)的可控和穩(wěn)定。

相關(guān)客戶案例：