适用范围
ISO/IEC 27001标准适用于所有类型的组织(例如,商业企业、政府机构、非赢利组织)。ISO/IEC 27001从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。
ISO/IEC27001:2005 标准的架构
ISO27001共分成11个主题,39个控制目标,133个控制措施。
11 个主题包括:
一 Security Policy(安全政策)
二 Organization of information security(组织信息安全)
三 Asset management(资产管理)
四 Human resources security(人力资源安全)
五 Physical and environmental security(实体与环境安全)
六 Communications and operations management(通信和操作管理)
七 Access control(访问控制)
八 Information systems acquisition,development and maintenance(信息系统获取、开发与维护)
九 Information security incident management(信息安全事故管理)
十 Business continuity management(业务持续性管理)
十一 Compliance(符合性)
信息安全管理体系建置方案
ISO27001所规范的『计划-执行-检查-行动』(PDCA,Plan-Do-Check-Act)发展模式及流程来建置信息安全管理体系(ISMS),本公司将遵循此精神将咨询顾问分成四大阶段:
一 项目启动
1 现况了解
2 进行差异性分析
3 提供ISMS推动相关计划
4 ISMS *一阶段培训
二 风险评估与管理
1 资产清点
2 风险评估与报告产出
3 风险处理与管理审查
三 ISMS文件修订与实施
1 四级文件制定及实施
2 ISMS第二阶段培训
3 营运持续演练
4 内部审核与管理审查
四 预评与认证
1 ISMS预评及协助不符合项改善
2 ISMS正式认证(分为*一阶段文审及第二阶段现场审核)
3 协助认证各阶段不符事项进行改善
4 取得建议发证报告及ISO27001证书
5 协助拟定ISMS 维运计划
实施ISO27001效益
一 ISO27001 证书的获得,可以客户表明,组织/企业遵循了所有适用的法律法规。从而保护企业和相关方的信息交换、知识产权、商业秘密等增加市场的竞争优势。
二 信息安全管理体系的建立可以和外部团体如合作伙伴及客户与内部团体如股东说明组织/企业为保护信息所做的努力,使其对组织/企业的信心加强,并有助于在同行业中的竞争优势,提升客户满意度及形象。
三 提升员工信息安全积极态度,规范信息安全制度,降低人为所造成的信息安全事故机率。
四 提升公司运营目标及达到业务永续经营要求目标。
五 满足组织/企业对信息安全的要求及期望。
