ISO27001認證內容（二/二）7)訪(fǎng)問(wèn)控制。制定訪(fǎng)問(wèn)控制策略，避免信息系統的非授權訪(fǎng)問(wèn)，并讓用戶(hù)了解其職責和義務(wù)，包括網(wǎng)絡(luò )訪(fǎng)問(wèn)控制，操作系統訪(fǎng)問(wèn)控制，應用系統和信息訪(fǎng)問(wèn)控制，監視系統訪(fǎng)問(wèn)和使用，定期檢測未授權的活動(dòng);當使用移動(dòng)辦公和遠程控制時(shí)，也要確保信息安全。 8)系統采集、開(kāi)發(fā)和維護。標示系統的安全要求，確保安全成為信息系統的內置部分，控制應用系統的安全，防止應用系統中用戶(hù)數據的丟失，被修改或誤用;通過(guò)加密手段保護信息的保密性，真實(shí)性和完整性;控制對系統文件的訪(fǎng)問(wèn)，確保系統文檔，源程序代碼的安全;嚴格控制開(kāi)發(fā)和支持過(guò)程，維護應用系統軟件和信息安全。 9)信息安全事故管理。報告信息安全事件和弱點(diǎn)，及時(shí)采取糾正措施，確保使用持續有效的方法管理信息安全事故，并確保及時(shí)修復。 10)業(yè)務(wù)連續性管理。目的是為減少業(yè)務(wù)活動(dòng)的中斷，是關(guān)鍵業(yè)務(wù)過(guò)程免收主要故障或天災的影響，并確保及時(shí)恢復。 11)符合性。信息系統的設計，操作，使用過(guò)程和管理要符合法律法規的要求，符合組織安全方針和標準，還要控制系統審計，使信息審核過(guò)程的效力發(fā)揮徹底，將干擾降到盡可能低ISO27001備份目標：防止數據丟失。南京ISO27001標準

ISO27001信息安全管理體系-方針 高層管理者應建立信息安全方針，以: a)與組織的宗旨相適用; b)包含信息安全目標(見(jiàn)6.2)或為信息安全目標提供框架; c)包含滿(mǎn)足適用的信息安全相關(guān)要求的承諾; d)包含信息安全管理體系持續改進(jìn)的承諾。 信息安全方針應: e)文件化并保持可用性; f)在組織內部進(jìn)行傳達; g)適當時(shí)提供給相關(guān)方。5.3組織角色、職責和權限 高層管理者應確保分配并傳達了信息安全相關(guān)角色的職責和權限。 高層管理者應分配下列職責和權限: a)確保信息安全管理體系符合本標準的要求; b)將信息安全管理體系的績(jì)效報告給高層管理者。 注:高層管理者可能還要分配在組織內部報告信息安全管理體系績(jì)效的職責和權限。上海ISO27001證書(shū)ISO27001認證工作不是企業(yè)的信息安全部或某一個(gè)部門(mén)的責任，而是需要全公司所有部門(mén)的共同配合與參與。

ISO27001信息安全管理體系中，組織應定義并應用信息安全風(fēng)險處置過(guò)程，以:a)在考慮風(fēng)險評估結果的基礎上，選擇適合的信息安全風(fēng)險處置選項:b)確定實(shí)現已選的信息安全風(fēng)險處置選項所必需的所有控制;c)將613b)確定的控制與附錄A中的控制進(jìn)行比較，并驗證沒(méi)有忽略必要的控制;d)制定一個(gè)適用性聲明，包含必要的控制[見(jiàn)613b)和c)]及其選擇的合理性說(shuō)明(無(wú)論該控制是否已實(shí)現)，以及對附錄A控制刪減的合理性說(shuō)明;e制定正式的信息安全風(fēng)險處置計劃;f)對信息安全風(fēng)險處置計劃以及對信息安全殘余風(fēng)險的接受的批準。組織應保留有關(guān)信息安全風(fēng)險處置過(guò)程的文件化信息。

ISO27001信息安全管理體系中的PDCA模型 -Plan：建立ISMS 定義ISMS的范圍 定義ISMS 策略 定義系統的風(fēng)險評估途徑 識別風(fēng)險 評估風(fēng)險 識別并評價(jià)風(fēng)險處理措施 選擇用于風(fēng)險處理的控制目標和控制 準備適用性聲明(SoA) 取得管理層對殘留風(fēng)險的承認，并授權實(shí)施和操作ISMS DO：實(shí)施和運行ISMS 制定風(fēng)險處理計劃 實(shí)施風(fēng)險處理計劃 實(shí)施所選的控制措施以滿(mǎn)足控制目標 實(shí)施培訓和意識程序 管理操作 管理資源 實(shí)施能夠激發(fā)安全事件檢測和響應的程序和控制 CHECK：監控和評審ISMS 執行監視程序和控制 對ISMS的效力進(jìn)行定期復審 復審殘留風(fēng)險和可接受風(fēng)險的水平 按照預定計劃進(jìn)行內部ISMS審計 定期對ISMS進(jìn)行管理復審 記錄活動(dòng)和事件可能對ISMS的效力或執行力度造成影響 ACT：保持和改進(jìn)ISMS 對ISMS實(shí)施可識別的改進(jìn) 采取恰當的糾正和預防措施 與所有利益伙伴溝通 確保改進(jìn)成果滿(mǎn)足其預期目標所有通過(guò)認證且合法的ISO27001證書(shū)均可在認監委CNCA的網(wǎng)站上進(jìn)行查詢(xún)。

1950年W.EdwardsDeming提出ISO27001信息安全管理體系-PDCA流程，即計劃（Plan）－執行（Do）－檢查（Check）－提升（Act）過(guò)程，意在說(shuō)明業(yè)務(wù)流程應當是不斷改進(jìn)的，該方法使得職能部門(mén)經(jīng)理可以識別出那些需要修正的環(huán)節并進(jìn)行修正。這個(gè)流程以及流程的改進(jìn)，都必須遵循這樣一個(gè)過(guò)程：先計劃，再執行，而后對其運行結果進(jìn)行評估，緊接著(zhù)按照計劃的具體要求對該評估進(jìn)行復查，而后尋找到任何與計劃不符的結果偏差（即潛在改進(jìn)的可能性），向管理層提出如何運行的報告。ISO27001網(wǎng)絡(luò )安全管理目標：確保網(wǎng)絡(luò )中信息的安全性并保護支持性信息處理設施。鎮江通訊業(yè)ISO27001認證過(guò)程

ISO27001是以信息資產(chǎn)及業(yè)務(wù)風(fēng)險管理為中心的管理體系。南京ISO27001標準

1、互聯(lián)網(wǎng)：I5027001能夠保障這類(lèi)企業(yè)重要信息的保密性、完整性及可用性，通過(guò)一系列安全防范措施的具體落實(shí)，解決互聯(lián)網(wǎng)企業(yè)的在信息管理方面的后顧之憂(yōu)。2、信息通訊：特別是一些大型的通信設備提供商，出于對于自身技術(shù)優(yōu)勢的保護心態(tài)，對信息安全更是非常重視。實(shí)施信息安全管理體系也就成了這些企業(yè)必然的選擇。3、電子商務(wù)：因交易平臺、支付平臺之類(lèi)對個(gè)人信息調取使用頻繁，導致行業(yè)內對隱私信息的安全儲存管理的要求日益嚴格，電子商務(wù)相關(guān)企業(yè)投入更多精力建設完善。4、生產(chǎn)制造：芯片、半導體制造產(chǎn)業(yè)及與生產(chǎn)行業(yè)緊密關(guān)聯(lián)的能源產(chǎn)業(yè)，對信息安全認證的看重越發(fā)明顯:不僅是國內外客戶(hù)的安全要求，更來(lái)自對自身技術(shù)優(yōu)勢的高效保障。5、金融保險：將數字視為生命線(xiàn)，自然也要牢牢把握信息安全的風(fēng)險紅線(xiàn)。一直以來(lái)，金融和保險行業(yè)為保障業(yè)務(wù)運轉的可靠性和持續性，始終在尋求信息安全相關(guān)認證的驅動(dòng)力。

南京ISO27001標準

本文來(lái)自深圳豪萊廣告有限公司：http://www.kikuku.cn/Article/76f19399730.html