干货干货-----深圳ISO27001信息安全管理体系认证

发布日期 :2018-05-28 14:26 编号:4803783 发布IP:119.123.123.183
供货厂家
深圳市亿杰企业管理咨询有限公司  
品牌
SGS,BSI,TUV,BV
报价
36000.00元/1
起订
1 1
库存
1 1
发货时间
3 天内
联系人
刘罗香(女士)
电话
0755-2104-8451
询价邮件
1369732458@qq.com
区域
深圳体系认证
地址
深圳市龙华区龙华街道牛地埔老村9栋301室
在线咨询:
点击这里给我发消息
让卖家联系我
详细介绍
手机版链接:https://m.trustexporter.com/cz4803783.htm
 干货干货-----深圳ISO27001信息安全管理体系认证

深圳市亿杰企业管理咨询有限公司

ISO27001认证/ISO27001咨询/ISO27001多少钱

传统的信息安全建设方法大都从单个系统出发,很少考虑整个组织的全局信息安全。但实际工作应该从组织整体出发,整体考虑所有系统,引入安全体系设计方法,合理搭建企业信息安全的框架。

 

企业信息安全是以建立企业信息化空间可信环境与秩序作为发展目标的,不仅要保障数据与系统安全,还要对基于参与者主题的“行为与内容”进行资源管理、认证及监控。因此,企业信息安全的重要任务是通过把企业内外部相互孤立的信息安全资源集中、整合起来,在一个安全框架内构成专门的管理、监管、认证和控制功能或职能,行成一个信息安全体系。

 

企业信息安全框架要考虑企业的多样性。企业类型的多样性决定了他们信息安全建设的重点和关注点也有所不同。企业根据生产方式不同至少可以分为三大类型:制造型企业、流通型企业、服务型企业。以制造型企业为例,企业信息化以生产制造业务为核心,信息安全的主要关注点是生产流程的可靠性与设计生产的一致性。因此,用一套框架或系统服务于所有行业、不同规模的企业是不科学也是不现实的。但是我们可以提出基本的核心要素及结构供不同企业参考。

 

企业信息安全管理体系框架

 

企业信息安全管理体系框架的基本要素分为:安全管理、安全运维、安全技术建设。

 

安全管理体系采用“设计、实施、检查、改进”过程模式监理企业的信息安全管理体系。这四个步骤成为一个闭环,通过环的不断运转使信息安全管理体系得到持续改进,使信息安全绩效螺旋上升。对应这四个步骤,企业信息安全管理视图可以包括以下流程:合规管理、信息安全管理、信息安全策略管理、风险评估管理。

 

安全运维体系在企业信息安全框架中是信息安全的系统功能视图,是企业信息安全目标的系统化分解、系统化运行的核心视图。在安全策略的指导下,安全组织利用安全技术来达成安全保护目标的过程。企业安全运维主要包括安全监控、事件响应、事件审计、外包服务等流程。

 

技术体系更多是解决安全风险点的问题,也就是我们常说的就事论事:有bing毒就杀Bing毒、有漏洞就补漏洞等。但是,信息分散在一系列工作流程的各个环节中,因此需要对各项日常运行工作流程进行安全控制,也就是从信息的生命周期进行流程控制,即在信息的创建、使用、存储、传递、更改、销毁等各个阶段进行安全控制。

 

安全技术主要包括物理安全、基础架构安全、身份安全、数据安全和应用安全的技术机制和技术管理等流程。采用哪些安全技术,市场上有哪些工具可以使用,是企业信息安全管理者关心的问题。一般来说,可以按照从上到下信息所流经的设备来部署工具,即从数据安全、终端安全、应用安全、主机安全、网络安全、物理安全六个方面来选择不同的安全工具。信息安全工具繁多,要按照“适度防御”的原则,综合采用各种安全工具进行组合,形成企业“适用的”安全技术防线。

 

最后,需要一到两种提供综合管理的工具来帮助把所有的安全监控工具进行统一管控。

 

企业信息安全管理体系建设

 

企业信息安全管理体系建设是企业信息安全工作的启动、建设、规划的重要内容。企业信息安全管理体系有四个层次,构成这四个层次的内容为:企业信息安全合规管理、信息安全管理、信息安全策略遵从以及信息安全风险管理。

 

信息安全合规管理是企业信息安全管理体系建设的基石和助推器。合规就是必须符合法律、法规和准则。企业信息安全合规管理与企业信息安全管理和全面风险管理是企业可持续发展的三种制度安排和保障。在合规与业务发展发生矛盾时,合规优先于业务发展必须是企业经营的基本方针。合规管理与内控、合规与业务发展、合规与全面风险管理是企业信息安全合规管理需要处理好的三类关系。

 

要想做好合规管理需要从两个方面重视,一是做好监管要求采集,关键活动包括监管要求跟踪和监管要求汇总。二是要监管合规管理。包括监管要求差距评估和差距评估结果的整改落实。

 

此外,要成立由企业主管领导任责任人的信息安全管理机构,建立相应的信息安全管理制度。从IT规划管理、IT制度管理、IT资源管理、监督管理、违规管理、外部环境六个方面建立信息安全管理过程。并且,企业要把措施放在信息安全管理体系持续改进的大背景下,以长远的眼光来打算,确保措施不仅致力于解决眼前的问题,还要杜绝类似事故再发生或者降低其再发生的可能性。

 

信息安全策略是企业管理层解决信息安全问题最重要的部分。企业信息安全策略工作主要从两方面进行,一是企业信息安全策略的制定,二是企业信息安全策略的贯彻、执行。制定安全策略的目的是保证网络安全,保护工作的整体性、计划性及规范性。其包括以下内容:进行安全需求分析;对网络系统资源进行评估;对可能存在的风险进行分析;确定内部信息对外开放的种类及发布方式和访问方式;明确网络系统管理人员的责任和义务;确定针对潜在风险采取的安全保护措施的主要构成方面,制定安全存取、访问规划。

 

最后,信息安全风险管理是对企业信息安全风险进行识别、评价、处置、整改等的全过程。包括确定工作方针、定义风险评估的系统性方法、识别风险、评估风险识别并评价风险处理的方法、为风险的处理选择控制目标与控制方式以及获得最高管理者的授权批准。

 

风险评估的方法主要是通过人工评估或者自动化工具测评等手段识别、分析支撑IT目标的流程和资源中存在的缺失或不足,判断风险优先级,提出风险处置建议。评估管理人员组织评估团队识别所评估对象的IT服务目标,进而分析支撑IT目标的流程和资源;识别影响流程和资源中的关键因素,根据关键因素设计风险检查项、检查指标和评价权重,形成风险检查表。评估人员依据风险检查表采用人工或自动化工具对评估对象的信息科技状况进行信息收集。信息收集可采用调查、检查、安全测试等方式。

深圳ISO27001认证信息安全管理体系认证

深圳市亿杰企业管理咨询有限公司

欢迎您的来电咨询


我们的其他产品