ISO27001认证信息安全管理的原则
ISO27001是一项被广泛采用的全球安全标准,采用以风险管理为核心的方法来管理公司和客户信息,并通过定期评估风险和控制措施的有效性来保证体系的持续运行。ISO27001为一个系统的、整体规划的信息安全管理体系,其从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。ISO27001体系共分为两部分:信息安全管理实施规则:该部分对信息安全管理给出建议,供负责在组织启动、实施或维护安全的人员使用;信息安全管理体系规范:该部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
为保障安全认证咨询服务工作的有序进行,特提出以下ISO27001认证原则:
1.保密性原则
要求评估单位与用户签订保密协议,在进行信息安全认证咨询服务的过程中,严格遵循保密原则,评估过程中采取严格的管理措施,确保所涉及到的任何用户保密信息,不会泄露给第三方单位或个人,不得利用这些信息损害用户利益。
2.最小影响原则
要求从项目管理和技术应用的层面,在认证咨询服务工作实施过程对设计院现有信息系统和网络的正常运行所可能的影响降到最低程度;要求制定认证咨询服务过程中的风险规避方案及应急措施。
3.规范性原则
要求评估机构在充分总结多年开展信息系统安全认证咨询服务实践经验的基础上,确定规范的方案;在此次信息安全认证咨询服务任务执行过程中,通过规范的项目管理,在人员、项目实施环节、质量保障和时间进度等方面进行严格管控。
4.标准化原则
认证咨询服务工作要求严格遵守国家和行业的相关法规、标准,并参考国际的标准来实施。
5.完整性原则
完整性原则包含以下两个层次的内容:
评估内容的完整性——要求在认证咨询服务工作中,要综合考虑所评估信息系统的技术措施、人员、业务及运行维护等方面,含盖信息安全管理体系与信息技术服务管理体系认证咨询服务合同要求。
评估流程的完整性——要求信息安全评估过程应遵循科学性、规范性、严谨性原则。
6.互动性原则
在进行信息安全管理体系与信息技术服务管理体系认证咨询服务过程中,要求必须有用户单位人员参与,双方共同组成项目实施部门,进行项目实施,从而保证项目执行的效果并提高受设计院的整体安全技能和安全意识。
如也有不清楚的可以随时在线留言,我们致力于验厂咨询.体系认证服务12年,累计帮助30000多家企业顺利通过各种各样验厂和体系认证。为广大客户提供一站式服务,且社会经验丰富,老师专业,拥有诸多的人脉关系,可以为工厂提供高性价比的服务,避免找不到方向,让制造厂安心、一次性顺利通过验厂和认证审核。
