信息安全管理体系(ISMS)是组织依据GB/T22080/ ISO/I27001(信息技术 安全技术信息安全管理
体系 要求)的要求,基于业务风险方法,建立、实施、运行、监视、评审、保持和改进信息安全
的体系,是一个组织整个管理体系的一部分。
ISMS认证针是对组织ISMS符合GB/T 22080/ ISO/I27001要求的一种认证。这是一种通过权威的第三
方审核之后提供的保证:受认证的组织实施了ISMS,并且符合GB/T 22080/ ISO/I 27001标准的要
求。通过认证的组织,将会被注册登记。
1、ISMS认证对企业的好处:
(1)预防信息安全事故,保证组织业务的连续性,使组织的重要信息资产受到与其价值相符的保
护,包括防范:
*重要的商业秘密信息的泄漏、丢失、篡改和不可用;
*重要业务所依赖的信息系统因故障、遭受bing毒或攻击而中断;
(2)节省费用。一个好的ISMS不仅可通过避免安全事故而使组织节省费用,而且也能帮助组织合
理筹划信息安全费用支出,包括:
*依据信息资产的风险级别,安排安全控制措施的投zi资优先级;
*对于可接受的信息资产的风险,不投zi资或减少投zi资;
(3)保持组织良好的竞争力和成功运作的状态,提高在公众中的形象和声誉,zui大限度的增加投
zi资回报和商业机会;
(4) 增强客户、合作伙伴等相关方的信任和信心。
(5) 降低法律风险;
(6) 强化员工的信息安全意识、规范组织的信息安全行为。
中山南朗镇---------ISO20000和ISO27001融合的体系文件结构:
多个体系可公用一套体系文件,整个体系分为四阶:
1. 一阶:主要是Statement和手册,定义了体系的目标、组织架构、管理层声明、管理者代表和体
系的总体要求的纲领性文件。
2. 二阶:个体系的流程层面的管理指引文件,在二阶文件中来zui大限度的整合
ISO27001&ISO20000体系的管理流程,信息安全的流程尽力整成一个文件。所有的二阶流程文件都
是各个体系的流程层面的指引,规定了各个流程的整体活动、角色、执行原则、KPI要求等方面。
3. 三阶:各体系的执行层面的规章制度,比如服务台热线操作手册、系统使用说明等。如果存在
总公司-分公司管理、或者不同客户的要求有很大的不同时,可在相应二阶流程指引的框架下,在
三阶文件中制定不同的执行制度,比如可制定各个分运维中心的事件管理流程或事件操作制度。
4. 四阶:各体系的文件记录和相关报表。
中山南朗镇---------ISO27001适用于哪些类型的组织:
ISO27001适用于所有类型的组织(例如,企业、政fu府机构、非赢利组织)。
ISO27001从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件
化的ISMS规定了要求。它规定了为适应不同组织及其下属部门的需要而定制的安全控制措施的实施
要求。
当由于组织及其业务特性,标准中的任何要求不适用时,可以考虑进行删减。
如果有删减,除非这些删减不影响组织提供信息安全满足风险评gu估和适用法规要求和责任的
能力,否则不能声称符合ISO27001标准。