关键词 |
怒江信息安全管理体系,申办信息安全管理体系,申报信息安全管理体系,申报信息安全管理体系 |
面向地区 |
全国 |
ISO27001信息安全管理体系概述
信息安全管理体系(Information Security Management System,简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念,是管理体系(Management System,MS)思想和方法在信息安全领域的应用。近年来,伴随着ISMS国际标准的制修订,ISMS迅速被接受和认可,成为、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。
遵循原则
在编写程序文件时应遵循下列原则:
程序文件一般不涉及纯技术性的细节,细节通常在工作指令或作业指导书中规定; 程序文件是针对影响信息安全的各项活动的目标和执行做出的规定,它应阐明影响信息安全的管理人员、执行人员、验证或评审人员的职责、权力和相互关系,说明实施各种不同活动的方式、将采用的文件及将采用的控制方式; 程序文件的范围和详细程度应取决于安全工作的复杂程度、所用的方法以及这项活动涉及人员所需的技能、素质和培训程度; 程序文件应简练、明确和易懂,使其具有可操作性和可检查性; 程序文件应保持统一的结构与编排格式,便于文件的理解与使用。
注意事项
编写信息安全管理体系程序文件时应注意:
程序文件要符合组织业务运作的实际,并具有可操作性;
可检查性。实施信息安全管理体系的一个重要标志就是有效性的验证。程序文件主要体现可检查性,必要时附相应的控制标准; 在正式编写程序文件之前,组织应根据标准的要求、风险评估的结果及组织的实际对程序文件的数量及其控制要点进行策划,确保每个程序之间要有必要的衔接,避免相同的内容在不同的程序之间有较大的重复;另外,在能够实现安全控制的前提下,程序文件数量和每个程序的篇幅越少越好; 程序文件应得到本活动相关部门负责人同意和接受,经过审批,注明修订情况和有效期。
问:ISO27001认证是什么?
答:信息安全管理实施规则BS7799-2,信息安全管理体系规范
指示部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据立组织的需要应实施安全控制的要求。
问:ISO27001信息安全管理体系认证适用范围?
答:指示信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。
————— 认证资质 —————
全国信息安全管理体系热销信息
站内来访