內(nèi)審員培訓(xùn)

課程簡(jiǎn)介
ISO27001信息安全管理體系（ISMS）成為國(guó)際標(biāo)準(zhǔn)后，得到國(guó)內(nèi)外各行業(yè)的積極響應(yīng)，紛紛基于ISO27001標(biāo)準(zhǔn)來建設(shè)和優(yōu)化自身的信息安全管理體系，旨在提升企業(yè)競(jìng)爭(zhēng)力并規(guī)范服務(wù)的行為。同時(shí)，隨著國(guó)家對(duì)信息安全的監(jiān)管及企業(yè)自身對(duì)信息安全需要的迫切性，信息安全管理人才已經(jīng)變成制約企業(yè)信息安全發(fā)展的瓶頸。
為了幫助企業(yè)培養(yǎng)信息安全管理的專業(yè)人才，我公司推出ISO27001培訓(xùn)課程（考試合格發(fā)放內(nèi)審員證書），旨在幫助企業(yè)學(xué)員對(duì)體系標(biāo)準(zhǔn)充分理解，掌握信息安全及信息技術(shù)服務(wù)管理體系審核知識(shí)及審核流程，助力企業(yè)順利通過認(rèn)證審核！

培訓(xùn)對(duì)象
1、企業(yè)管理人員
2、企業(yè)信息安全管理體系審核人員
3、IT經(jīng)理、系統(tǒng)經(jīng)理、IT安全經(jīng)理
4、IT咨詢顧問、管理體系咨詢顧問
5、其他希望學(xué)習(xí)信息安全管理體系的人士

課程收益
1、讓學(xué)員系統(tǒng)了解信息安全管理體系標(biāo)準(zhǔn)的背景、目的、價(jià)值及要求；
2、讓學(xué)員準(zhǔn)確理解和把握控制措施的含義及審核方法；
3、讓學(xué)員系統(tǒng)掌握審核生命周期流程(PERC)，包括策劃、執(zhí)行、報(bào)告及關(guān)閉的方法和技能，以驅(qū)動(dòng)持續(xù)改進(jìn)。

課程大綱
第一部分 理解和掌握信息安全管理體系的基礎(chǔ)知識(shí)
第二部分 理解和掌握ISO27001標(biāo)準(zhǔn)的亮點(diǎn)
第三部分 理解ISO27001標(biāo)準(zhǔn)要求的變化
第四部分 掌握ISO27001標(biāo)準(zhǔn)要求在體系推行過程中的應(yīng)用方法和技巧
第五部分 掌握ISO27001信息安全管理體系內(nèi)審的方法和流程
第六部分 內(nèi)審員考試

講師簡(jiǎn)介

高級(jí)咨詢師，高級(jí)工程師、ISO9001、ISO14001國(guó)家注冊(cè)咨詢師、ISO9001IRCA注冊(cè)審核員、ISO27001資深講師。

老師有近30年大中型企業(yè)管理實(shí)踐與咨詢經(jīng)歷，累積了豐富的實(shí)戰(zhàn)經(jīng)驗(yàn)，對(duì)企業(yè)的人力、研發(fā)、采購(gòu)、生產(chǎn)、質(zhì)量、基層管理等運(yùn)作流程有深入的研究，成功主導(dǎo)數(shù)百家企業(yè)的體系咨詢、流程管理咨詢項(xiàng)目。擅長(zhǎng)ISO9001、ISO14001、ISO45001、ISO13485、IATF16949、AS9100、GJB9100、TL9000、ISO27000、ISO22000、SA8000、QC080000等體系的建立。已開展過近千場(chǎng)課程培訓(xùn)，培訓(xùn)過程中不拘泥于標(biāo)準(zhǔn)，獨(dú)創(chuàng)一套新的管理體系培訓(xùn)特色。對(duì)生產(chǎn)管理、品質(zhì)管理、持續(xù)改進(jìn)、質(zhì)量成本、企業(yè)流程有自己獨(dú)特的見解，有一套系統(tǒng)的解決方法，能夠?yàn)榭蛻籼峁┝可矶ㄖ频呐嘤?xùn)課程及提供持續(xù)的教練輔導(dǎo)服務(wù)。

服務(wù)過的部分企業(yè)：華為、平安智慧城市、中國(guó)聯(lián)通、華正聯(lián)、華策輝弘科技、震有科技、中國(guó)移動(dòng)、晶科通訊、天海電器、國(guó)藥集團(tuán)、信利電子、任子行、浪潮集團(tuán)有限公司、中科曙光、戴爾、英偉達(dá)半導(dǎo)體科技、越秀集團(tuán)、銀彈谷、廣東君思、福州移動(dòng)、迅雷、齊心集團(tuán)、聯(lián)創(chuàng)科技、浪潮集團(tuán)、科大訊飛、?？低?、啟明星辰。

關(guān)于我們：安信達(dá)咨詢成立于1996年，是中國(guó)早期從事管理咨詢的公司之一，也是國(guó)內(nèi)首批獲得中國(guó)認(rèn)監(jiān)委備案資質(zhì)的咨詢培訓(xùn)機(jī)構(gòu)，后又獲得廣東省企業(yè)管理咨詢培訓(xùn)行業(yè)甲級(jí)資質(zhì)證書和企業(yè)AAA級(jí)信用等級(jí)證書，目前已為10000多家公司提供了咨詢輔導(dǎo)和課程培訓(xùn)，具有強(qiáng)大的師資團(tuán)隊(duì)和專業(yè)化的課程體系，是一家能力強(qiáng)，資歷深、課程多、服務(wù)好的老牌培訓(xùn)機(jī)構(gòu)。

報(bào)名須知
開課時(shí)間：具體時(shí)間咨詢客服確認(rèn)
培訓(xùn)地點(diǎn)：線上線下同步開展
報(bào)名方式：Tel：186-8895-7035
付款方式：公司對(duì)公提前付款或個(gè)人對(duì)公付款
特別說明：小班授課，名額有限，報(bào)名從速

ISO27001年度培訓(xùn)計(jì)劃下載

ISO27001培訓(xùn)機(jī)構(gòu)聯(lián)系方式

The post 深圳ISO27001培訓(xùn)線上線下同步開課，專業(yè)老師，經(jīng)驗(yàn)豐富 first appeared on 深圳市安信達(dá)咨詢有限公司.

2. 遵守法律法規(guī)：信息安全體系可以幫助企業(yè)遵守相關(guān)的法律法規(guī)和標(biāo)準(zhǔn)，避免因違反法律法規(guī)而帶來的罰款、訴訟等風(fēng)險(xiǎn)。

3. 提高企業(yè)信譽(yù)度：信息安全體系可以提高企業(yè)的信譽(yù)度，增強(qiáng)客戶、供應(yīng)商和投資者對(duì)企業(yè)的信任度，從而提高企業(yè)的市場(chǎng)競(jìng)爭(zhēng)力。

4. 降低風(fēng)險(xiǎn)：信息安全體系可以幫助企業(yè)降低信息安全風(fēng)險(xiǎn)，減少信息泄露、數(shù)據(jù)丟失、系統(tǒng)癱瘓等風(fēng)險(xiǎn)，保障企業(yè)的業(yè)務(wù)連續(xù)性。

5. 提高員工意識(shí)：信息安全體系可以提高員工的信息安全意識(shí)，讓員工更加重視信息安全，從而減少員工在信息安全方面的疏忽和失誤。

6. 優(yōu)化業(yè)務(wù)流程：信息安全體系可以幫助企業(yè)優(yōu)化業(yè)務(wù)流程，提高工作效率，減少人力資源和時(shí)間成本。

7. 保護(hù)客戶利益：信息安全體系可以保護(hù)客戶的利益，防止客戶的個(gè)人信息被泄露或被濫用，增強(qiáng)客戶對(duì)企業(yè)的信任度。

The post 建立和實(shí)施ISO27001信息安全體系的好處 first appeared on 深圳市安信達(dá)咨詢有限公司.

【課程對(duì)象】
信息安全管理人員，欲將ISO27001導(dǎo)入組織的人員，在ISO27001實(shí)施過程中承擔(dān)內(nèi)部審核工作的人員，有志于從事IT信息安全管理工作的人員。

【課程大綱】
第一部分：ISO27001：2013信息安全概述、標(biāo)準(zhǔn)條款講解
◆ 信息安全概述：信息及信息安全，CIA目標(biāo)，信息安全需求來源，信息安全管理。
◆ 風(fēng)險(xiǎn)評(píng)估與管理：風(fēng)險(xiǎn)管理要素，過程，定量與定性風(fēng)險(xiǎn)評(píng)估方法，風(fēng)險(xiǎn)消減。
◆ ISO/IEC 27001簡(jiǎn)介：ISO27001標(biāo)準(zhǔn)發(fā)展歷史、現(xiàn)狀和主要內(nèi)容，ISO27001標(biāo)準(zhǔn)認(rèn)證。
◆ 信息安全管理實(shí)施細(xì)則：從十個(gè)方面介紹ISO27001的各項(xiàng)控制目標(biāo)和控制措施。
◆ 信息安全管理體系規(guī)范：ISO/IEC27001-2013標(biāo)準(zhǔn)要求內(nèi)容，PDCA管理模型，ISMS建設(shè)方法和過程。
◆ ISO/IEC27001-2013標(biāo)準(zhǔn)要求與ISO27001:2005的差異歸納。（安信達(dá)咨詢www.dyxbbs.cn）

第二部分：ISO27001：2013信息安全管理體系文件建立（ISO27001與ISO9001、ISO14001管理體系如何整合）
◆ ISO27001與ISO9001、ISO14001的異同
◆ ISO27001與ISO9001、ISO14001可以共用的程序文件和三級(jí)文件
◆ 如何將三體系整合降低公司的體系運(yùn)行成本
◆ ISO9001、ISO14001、ISO27001體系三合一整合案例分析

第三部分：信息安全管理體系內(nèi)部審核技巧和認(rèn)證應(yīng)對(duì)案例分析
◆ ISO27001：2013標(biāo)準(zhǔn)對(duì)內(nèi)審員的新要求
◆ 信息安全管理體系認(rèn)證現(xiàn)場(chǎng)審核的流程、技巧及溝通方法
◆ 如何應(yīng)對(duì)認(rèn)證公司的認(rèn)證審核、監(jiān)督審核、案例分析
◆ 考試 >>> 考試合格者頒發(fā)“ISO27000信息安全管理體系內(nèi)部審核員培訓(xùn)合格證書”

The post ISO27001：2013新版信息安全管理體系內(nèi)審員培訓(xùn)課程 first appeared on 深圳市安信達(dá)咨詢有限公司.

【培訓(xùn)大綱】
1、信息安全案例分析和討論
–案例1 個(gè)人隱私權(quán)
–案例2 電子媒體
–案例3 全國(guó)最大的網(wǎng)上盜竊通訊資費(fèi)
2、什么是信息安全
2.1關(guān)鍵資產(chǎn)－信息
–企業(yè)應(yīng)保護(hù)什么信息？
–信息的生命周期
–信息的存在形式
–信息的存儲(chǔ)介質(zhì)
2.2信息為什么會(huì)有安全問題
–信息具有重要的價(jià)值
–信息系統(tǒng)固有的脆弱性
–信息安全管理的不健全
2.3信息安全的定義
–信息安全的實(shí)現(xiàn)目標(biāo)
–信息安全的重要性
3、為什么需要信息安全
3.1信息安全范圍
–國(guó)家安全的需要
–組織持續(xù)發(fā)展的需要
–保護(hù)個(gè)人隱私與財(cái)產(chǎn)的需要
3.2信息安全能幫助企業(yè)盈利嗎
3.3日常工作中常見的信息安全事件
3.4企業(yè)面臨的信息安全問題
3.5信息安全面臨的威脅類型
3.6日常工作中安全威脅舉例
3.7怎么辦
4、信息安全管理體系
4.1信息安全管理體系框架
4.2風(fēng)險(xiǎn)管理
–風(fēng)險(xiǎn)評(píng)估策略
–信息面臨的威脅和可利用的脆弱性
–風(fēng)險(xiǎn)處理計(jì)劃
4.3風(fēng)險(xiǎn)控制措施
4.4安全方針
4.5組織信息安全
4.6資產(chǎn)管理
–資產(chǎn)責(zé)任人
–資產(chǎn)分類（密級(jí)）、標(biāo)記及處理
4.7人力資源安全
–入職前的背景調(diào)查
–入職中的保密協(xié)議及信息安全意識(shí)培訓(xùn)、違紀(jì)處理
–離職時(shí)的資產(chǎn)返還、權(quán)限處理
4.8物理和環(huán)境安全
–訪客管理
–重點(diǎn)區(qū)域，如機(jī)房、配電間、生產(chǎn)車間的管理
–資產(chǎn)轉(zhuǎn)移－運(yùn)輸、筆記本電腦管理
–電腦的再利用
4.9通信和操作管理
–系統(tǒng)軟硬件變更管理
–服務(wù)交付管理
–信息系統(tǒng)、基礎(chǔ)設(shè)施容量規(guī)劃
–防病毒策略
–重要信息備份
–內(nèi)外部網(wǎng)絡(luò)管理
–移動(dòng)介質(zhì)管理
–郵件管理
–對(duì)外信息發(fā)布管理
–系統(tǒng)日志管理
4.10訪問控制
–網(wǎng)絡(luò)訪問策略
–文件服務(wù)器等重要信息系統(tǒng)訪問權(quán)限管理
–門禁管理
–用戶口令管理
–特權(quán)賬戶管理
–桌面管理
–屏保措施
–遠(yuǎn)程訪問及遠(yuǎn)程工作管理
–網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)
–路由控制
4.11信息系統(tǒng)獲取、開發(fā)和維護(hù)
–系統(tǒng)升級(jí)
–系統(tǒng)脆弱性管理
4.12信息安全事件管理
-信息安全事件分類及處理流程
4.13業(yè)務(wù)連續(xù)性管理
–服務(wù)器故障、電力中斷、網(wǎng)絡(luò)故障、重要設(shè)備故障處理流程
4.14符合性
–法律符合性
–技術(shù)符合性
–證據(jù)保護(hù)
5、信息安全管理體系的建立
5.1現(xiàn)狀評(píng)估及適用性聲明
5.2文件框架
5.3信息安全意識(shí)教育
5.4控制措施測(cè)量
5.5內(nèi)部審核
5.6管理評(píng)審
6、內(nèi)部審核的要求
6.1審核技巧
6.2審核的分類
6.3管理體系審核的一般步驟
6.4內(nèi)部審核策劃
6.5內(nèi)部審核實(shí)施
6.6案例分析

The post ISO27001信息安全標(biāo)準(zhǔn)與內(nèi)審員培訓(xùn) first appeared on 深圳市安信達(dá)咨詢有限公司.

開發(fā)信息安全管理的國(guó)際標(biāo)準(zhǔn)ISO 27002的原因最初在BSI的網(wǎng)站上的描述如下：
許多組織都表示需要有一個(gè)共同的關(guān)于信息安全管理最佳實(shí)踐的標(biāo)準(zhǔn)，他們希望能夠部署信息安全控制措施，以滿足他們自己的業(yè)務(wù)需求以及與他們有業(yè)務(wù)關(guān)系的其它機(jī)構(gòu)。這些組織認(rèn)為有必要分享通用最佳實(shí)踐的好處，并以此作為一個(gè)真正的國(guó)際水平，以確保它們能夠保護(hù)他們的業(yè)務(wù)流程和活動(dòng)，以滿足業(yè)務(wù)的需要。

它并沒有提供一個(gè)用于獲得國(guó)際認(rèn)證的基本方案。認(rèn)證方案只有BS7799的第二部分和現(xiàn)在的ISO 27001可以做到。

兩個(gè)標(biāo)準(zhǔn)之間的對(duì)應(yīng)關(guān)系
ISO27001:2005的附件A中列出了ISO17799:2005也就是新編號(hào)ISO27002中的133個(gè)控件，并且遵循相同的編號(hào)系統(tǒng)，和使用同樣的關(guān)于控制措施的語言用詞。
ISO27001的前言中指出：控制目標(biāo)和控制措施直接來自ISO17799:2005，并且和它保持一致。
ISO27001規(guī)定：應(yīng)該從附件A中選擇控制目標(biāo)和控制措施，以滿足“風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過程中確定的控管要求”。
ISO27002還提供了有關(guān)如何實(shí)現(xiàn)特定的控制措施的實(shí)質(zhì)性指導(dǎo)。任何一個(gè)ISO27001 ISMS的實(shí)施都將需要獲取和研究ISO27001和ISO27002兩份標(biāo)準(zhǔn)。
盡管ISO27001強(qiáng)制指定ISO27002作為一個(gè)控制措施選擇和部署的指導(dǎo)來源，它并不限制該組織對(duì)控制措施的選擇。序言接著指出：“ISO標(biāo)準(zhǔn)中的控制目標(biāo)和控制措施可能并不是很詳盡，組織可能需要考慮和采取更多的控制目標(biāo)和控制措施。”

The post ISO27001與27002的關(guān)系 first appeared on 深圳市安信達(dá)咨詢有限公司.

據(jù)悉，廣發(fā)是全國(guó)首家獲此殊榮的信用卡中心，也是全國(guó)惟一連續(xù)兩年獲得金融業(yè)信息安全類獎(jiǎng)項(xiàng)的銀行信用卡中心。

近幾年來，各種媒體及網(wǎng)絡(luò)渠道所曝光的銀行客戶數(shù)據(jù)泄漏事件層出不窮，給金融業(yè)敲響了客戶信息安全保護(hù)的警鐘。為全面保障信用卡業(yè)務(wù)的信息安全，保護(hù)好客戶數(shù)據(jù)安全，廣發(fā)銀行信用卡中心早在2006年就組建了專職的信息安全管理團(tuán)隊(duì)，并參照ISO 27001及GBT 22080信息安全管理體系標(biāo)準(zhǔn)逐步建立起適合廣發(fā)銀行信用卡中心業(yè)務(wù)特色的信息安全管理體系框架。

2009年，廣發(fā)銀行信用卡中心開始實(shí)施ISO 27001項(xiàng)目一期，以參照ISO 27001國(guó)際信息安全管理體系為基礎(chǔ)，建立了符合廣發(fā)銀行信用卡特色的國(guó)際信息安全管理體系，于2010年6月通過DNV（挪威船級(jí)社）的認(rèn)證審核，并獲得UKAS國(guó)際信息安全管理體系證書，成為國(guó)內(nèi)第一家信用卡業(yè)務(wù)領(lǐng)域通過ISO 27001認(rèn)證的千萬量級(jí)發(fā)卡行。

2011年，為符合國(guó)家和行業(yè)針對(duì)信息安全管理體系的監(jiān)管要求，廣發(fā)銀行信用卡中心實(shí)施了ISO 27001項(xiàng)目二期，以參照GBT 22080國(guó)家信息安全管理體系為基礎(chǔ)，建立了符合廣發(fā)銀行信用卡特色的國(guó)家信息安全管理體系，于 2011年10月通過中國(guó)信息安全認(rèn)證中心的認(rèn)證審核，并獲得國(guó)家信息安全管理體系證書。

從2012年開始，廣發(fā)銀行信用卡中心實(shí)施ISO 27001項(xiàng)目三期，全面強(qiáng)化信息安全的精細(xì)化及可落地化管理。

The post 廣發(fā)銀行信用卡榮獲ISO27001認(rèn)證 first appeared on 深圳市安信達(dá)咨詢有限公司.

信息安全管理體系的建設(shè)和實(shí)施已達(dá)國(guó)際標(biāo)準(zhǔn)　
2013年6月，青島銀行信息安全管理體系順利通過ISO27001國(guó)際標(biāo)準(zhǔn)認(rèn)證，標(biāo)志著青島銀行在信息安全管理體系的建設(shè)和實(shí)施方面均已達(dá)到國(guó)際標(biāo)準(zhǔn)。

ISO27001信息安全管理體系國(guó)際標(biāo)準(zhǔn)是一套綜合的、由信息安全最佳慣例組成的實(shí)施規(guī)則，是目前國(guó)際上最權(quán)威并被廣泛接受的信息安全標(biāo)準(zhǔn)。按照此標(biāo)準(zhǔn)實(shí)施信息安全管理體系建設(shè)，可以減少企業(yè)面臨的信息安全風(fēng)險(xiǎn)，保護(hù)企業(yè)信息安全的機(jī)密性、完整性、可用性，實(shí)現(xiàn)動(dòng)態(tài)、系統(tǒng)、以預(yù)防為主的信息安全管理方式，最終實(shí)現(xiàn)企業(yè)業(yè)務(wù)的持續(xù)運(yùn)營(yíng)。

　　一直以來，青島銀行郭少泉董事長(zhǎng)和王麟行長(zhǎng)對(duì)信息安全管理和信息科技風(fēng)險(xiǎn)防范工作高度重視。2012年青島銀行制定了建設(shè)符合國(guó)際標(biāo)準(zhǔn)的信息安全管理體系的工作目標(biāo)。同年，青島銀行委托畢馬威公司對(duì)青島銀行信息安全管理現(xiàn)狀評(píng)估。信息技術(shù)部根據(jù)評(píng)估中發(fā)現(xiàn)的組織及人員安全、操作風(fēng)險(xiǎn)管理、業(yè)務(wù)連續(xù)性、外包商管理等方面的風(fēng)險(xiǎn)，組織實(shí)施了一系列措施消除或降低主要的安全風(fēng)險(xiǎn)，使青島銀行的信息安全管理能力得到穩(wěn)步提升。

　　2013年初，青島銀行正式啟動(dòng)了信息安全管理體系建設(shè)項(xiàng)目，根據(jù)ISO27001國(guó)際標(biāo)準(zhǔn)及行業(yè)監(jiān)管要求開展了資產(chǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、風(fēng)險(xiǎn)控制、持續(xù)監(jiān)控和評(píng)審以及信息安全管理體系試運(yùn)行等一系列工作，建立了一套符合國(guó)際標(biāo)準(zhǔn)與國(guó)家監(jiān)管要求、同時(shí)切合青島銀行實(shí)際工作情況的信息安全管理體系，全方位涵蓋了安全政策、組織安全、資產(chǎn)分類與控制、人員安全、物理環(huán)境安全、通訊與操作管理、系統(tǒng)開發(fā)與維護(hù)、訪問控制、信息安全事件管理、業(yè)務(wù)持續(xù)性管理和符合性管理等十一個(gè)領(lǐng)域。

　　經(jīng)過大半年的努力，青島銀行借鑒信息安全管理最佳實(shí)踐，實(shí)施全面的信息安全風(fēng)險(xiǎn)評(píng)估，開展了多種形式的員工信息安全意識(shí)宣導(dǎo)，建立了較完善的信息安全管理體系。信息安全風(fēng)險(xiǎn)防范水平及員工信息安全意識(shí)有了較大提升，信息安全工作由“事后補(bǔ)救”的糾正型管理模式轉(zhuǎn)變?yōu)橐浴笆虑邦A(yù)防”的預(yù)防型管理模式；員工從“要我安全”的被動(dòng)式安全意識(shí)向“我要安全”的主動(dòng)式安全意識(shí)轉(zhuǎn)變。

　　2013年5月21日至2013年5月30日，國(guó)際權(quán)威認(rèn)證機(jī)構(gòu)挪威船級(jí)社（DNV）公司安排審核組分兩個(gè)階段對(duì)青島銀行的信息系統(tǒng)基礎(chǔ)設(shè)施運(yùn)營(yíng)維護(hù)、應(yīng)用軟件開發(fā)、信息資產(chǎn)管理等方面按照ISO27001標(biāo)準(zhǔn)進(jìn)行審核。最終青島銀行順利通過了審核，躋身為數(shù)不多的已通過此項(xiàng)認(rèn)證的股份制商業(yè)銀行的行列。

　　ISO27001安全認(rèn)證的獲得將為各項(xiàng)業(yè)務(wù)快速發(fā)展提供強(qiáng)有力的保障，也為青島銀行上市準(zhǔn)備工作中的信息科技安全管理工作和風(fēng)險(xiǎn)防范水平的進(jìn)一步提升奠定了堅(jiān)實(shí)的基礎(chǔ)，同時(shí)也將提升青島銀行在同業(yè)中的聲譽(yù)，增強(qiáng)客戶、合作伙伴及投資者對(duì)青島銀行的信心和認(rèn)可。

The post 青島銀行信息安全管理體系通過ISO27001國(guó)際標(biāo)準(zhǔn)認(rèn)證 first appeared on 深圳市安信達(dá)咨詢有限公司.

The post 中國(guó)信息安全認(rèn)證中心-ISCCC first appeared on 深圳市安信達(dá)咨詢有限公司.

The post ISO27001信息安全管理體系認(rèn)證背景 first appeared on 深圳市安信達(dá)咨詢有限公司.

1.???? ISMS認(rèn)證

1.1?? 什么是ISMS認(rèn)證

所謂認(rèn)證，即由可以充分信任的第三方認(rèn)證機(jī)構(gòu)依據(jù)特定的審核準(zhǔn)則，按照規(guī)定的程序和方法對(duì)受審核方實(shí)施審核，以證實(shí)某一經(jīng)鑒定的產(chǎn)品或服務(wù)符合特定標(biāo)準(zhǔn)或規(guī)范性文件的活動(dòng)。
針對(duì)ISO/IEC 27001的受認(rèn)可的認(rèn)證，是對(duì)組織ISMS符合ISO/IEC 27001 要求的一種認(rèn)證。這是一種通過權(quán)威的第三方審核之后提供的保證：受認(rèn)證的組織實(shí)施了ISMS，并且符合ISO/IEC 27001標(biāo)準(zhǔn)的要求。通過認(rèn)證的組織，將會(huì)被注冊(cè)登記。

1.2?? 為什么要進(jìn)行ISMS認(rèn)證

根據(jù)CSI/FBI的Computer Crime and Security Survey2005中的統(tǒng)計(jì)， 65%的組織至少發(fā)生了一次信息安全事故，而在這份報(bào)告中同時(shí)表明有97%的組織部署了防火墻，96%組織部署了殺毒軟件?？梢?，我們的信息安全手段并不奏效，信息安全現(xiàn)狀不容樂觀。
實(shí)際上，只有在宏觀層次上實(shí)施了良好的信息安全管理，即采用國(guó)際上公認(rèn)的最佳實(shí)踐或規(guī)則集等，才能使微觀層次上的安全，如物理措施等，實(shí)現(xiàn)其恰當(dāng)?shù)淖饔谩２捎肐SMS標(biāo)準(zhǔn)并得到認(rèn)證無疑是組織應(yīng)該考慮的方案之一。
1)??????? 預(yù)防信息安全事故，保證組織業(yè)務(wù)的連續(xù)性，使組織的重要信息資產(chǎn)受到與其價(jià)值相符的保護(hù)，包括防范：
l? 重要的商業(yè)秘密信息的泄漏、丟失、篡改和不可用；
l? 重要業(yè)務(wù)所依賴的信息系統(tǒng)因故障、遭受病毒或攻擊而中斷；
2)??????? 節(jié)省費(fèi)用。一個(gè)好的ISMS不僅可通過避免安全事故而使組織節(jié)省費(fèi)用，而且也能幫助組織合理籌劃信息安全費(fèi)用支出，包括：
l? 依據(jù)信息資產(chǎn)的風(fēng)險(xiǎn)級(jí)別，安排安全控制措施的投資優(yōu)先級(jí)；
l? 對(duì)于可接受的信息資產(chǎn)的風(fēng)險(xiǎn)，不投資安全控制；
3)??????? 保持組織良好的競(jìng)爭(zhēng)力和成功運(yùn)作的狀態(tài)，提高在公眾中的形象和聲譽(yù)，最大限度的增加投資回報(bào)和商業(yè)機(jī)會(huì)；
4)??????? 增強(qiáng)客戶、合作伙伴等相關(guān)方的信任和信心。

1.3?? ISMS認(rèn)證適合何種類型的組織

ISO/IEC 27001:2005中明確指出，標(biāo)準(zhǔn)中規(guī)定的要求是通用的，適用于所有的組織，無論其類型、規(guī)模和業(yè)務(wù)性質(zhì)怎樣。
ISO/IEC 27001:2005可以作為評(píng)估組織滿足客戶、組織本身以及法律法規(guī)所確定的信息安全要求的能力的依據(jù)，無論是自我評(píng)估還是獨(dú)立第三方認(rèn)證。
就目前國(guó)內(nèi)發(fā)展來看，最先確定實(shí)施ISMS 并考慮接受ISO/IEC 27001:2005認(rèn)證的組織，其驅(qū)動(dòng)力都比較明顯，這種驅(qū)動(dòng)力可以是外部的，也可以是發(fā)自內(nèi)部的。這些組織主要集中在以下幾個(gè)行業(yè)：
u 半導(dǎo)體行業(yè)：尤其是主業(yè)為集成電路芯片制造的組織。由于國(guó)內(nèi)最近幾年IC 產(chǎn)業(yè)發(fā)展迅猛，大量國(guó)外設(shè)計(jì)企業(yè)的制造訂單都飛往國(guó)內(nèi)一些大型的芯片制造企業(yè)，鑒于IP（知識(shí)產(chǎn)權(quán)）保護(hù)的重要性，來自國(guó)外客戶的明確要求，使得國(guó)內(nèi)芯片制造企業(yè)必須在信息安全管理方面做出保證，ISO/IEC 27001:2005證書就是最好的選擇。
u 軟件外包行業(yè)：情況與芯片制造企業(yè)類似，近年來，承擔(dān)軟件定制開發(fā)的很多企業(yè)，也面臨外部客戶明確提出的信息保護(hù)的要求。
u 金融業(yè)和保險(xiǎn)業(yè)：一直以來，金融和保險(xiǎn)行業(yè)對(duì)信息安全的重視都是非常高的，保護(hù)客戶信息、保證業(yè)務(wù)運(yùn)轉(zhuǎn)的可靠性和持續(xù)性，這都是此行業(yè)組織實(shí)施ISMS，并尋求認(rèn)證的驅(qū)動(dòng)力。
u 通訊行業(yè)：特別是一些大型的通信設(shè)備提供商，由于牽涉到對(duì)自身核心技術(shù)的保護(hù)，對(duì)信息安全加以重視并全面實(shí)施信息安全管理體系就成了這些企業(yè)必然的選擇。
u 電子商務(wù)行業(yè)：對(duì)于電子商務(wù)交易平臺(tái)、電子商務(wù)支付平臺(tái)，由于客戶以及合作伙伴對(duì)交易過程的高度安全需求，導(dǎo)致這類組織都會(huì)在信息安全建設(shè)方面加大投入建設(shè)，全面的信息安全管理體系。
u 其他行業(yè)：只要是涉及到IP 保護(hù)、行業(yè)規(guī)范和法律法規(guī)要求、自身發(fā)展需求的，組織都會(huì)逐漸在信息安全建設(shè)上加強(qiáng)力度，就拿美國(guó)Sarbanes-Oxley 法案（薩班斯法案，簡(jiǎn)稱SOX 法案）來說，由于對(duì)在SEC 注冊(cè)的上市公司提出了內(nèi)部控制審核的要求，相關(guān)組織必然會(huì)在信息安全方面投入關(guān)注，因?yàn)樾畔踩刂剖瞧髽I(yè)內(nèi)部控制必不可少的一個(gè)部分。

1.4?? 全球ISMS認(rèn)證狀況及發(fā)展趨勢(shì)

1.4.1???? 全球ISMS證書統(tǒng)計(jì)

自2002年以來，全球許多組織開始建立和實(shí)施ISMS，并認(rèn)識(shí)到ISMS認(rèn)證給組織帶來的利益。截至Saturday, 06 January 2007，全球通過的ISMS認(rèn)證的組織已達(dá)3274家，其中包括我國(guó)大陸的41家（在xisec網(wǎng)站上列出了39個(gè)證書的企業(yè)名稱），臺(tái)灣112家，香港26家和澳門3家。

1.4.2???? 中國(guó)ISMS證書統(tǒng)計(jì)

中國(guó)大陸地區(qū)目前已經(jīng)取得ISMS認(rèn)證的企業(yè)有44家（xisec網(wǎng)站上只統(tǒng)計(jì)了41個(gè)證書），大多數(shù)都是從去年下半年開始新出現(xiàn)的，詳見表二。
在這44個(gè)證書中，按位置劃分：上海11家；深圳9家；大連6家；北京8家；沈陽(yáng) 2家；廈門、遼寧、嘉興、山東、蘇州、東莞、廣州、四川各1家。
按行業(yè)劃分：生產(chǎn)業(yè)企業(yè)有10家；軟件開發(fā)是10家；通信業(yè)有8家； IT服務(wù)5家；咨詢業(yè)3家；電力行業(yè)2家；保險(xiǎn)業(yè) 2家；廣告、業(yè)務(wù)流程外包、數(shù)據(jù)恢復(fù)、互聯(lián)網(wǎng)各1家。

1.4.3???? 中國(guó)政府關(guān)注ISMS

u?? 2000年4月，北京知識(shí)安全中心把ISMS介紹給國(guó)信安辦（原）；
u?? 2002年4月，認(rèn)監(jiān)委與國(guó)信辦在中認(rèn)大廈召開國(guó)家ISMS認(rèn)證認(rèn)可高層研討會(huì)；
u?? 2002年11月，信安標(biāo)委WG7開始研究和制定ISMS國(guó)家標(biāo)準(zhǔn)；
u?? 2004年4月，認(rèn)監(jiān)委在其辦公大樓會(huì)議室召開ISMS認(rèn)證認(rèn)可工作會(huì)議；
u?? 2005年6月15日，我國(guó)發(fā)布第一個(gè)ISMS國(guó)家標(biāo)準(zhǔn)“GB/T19716-2005信息安全管理實(shí)用規(guī)則”，該標(biāo)準(zhǔn)修改采用ISO/IEC17799:2000；
u?? 2006年2月，國(guó)信辦在5個(gè)單位開展ISMS標(biāo)準(zhǔn)應(yīng)用試點(diǎn)工作：國(guó)家稅務(wù)總局、證監(jiān)會(huì)、北京、上海、武鋼；
u?? 2006年3月，認(rèn)監(jiān)委批準(zhǔn)4家ISMS試點(diǎn)認(rèn)證機(jī)構(gòu)：信產(chǎn)部4所、華夏認(rèn)證中心、上海認(rèn)證中心、賽寶認(rèn)證中心；

1.4.4???? ISMS認(rèn)證發(fā)展趨勢(shì)

自2002年以來，根據(jù)ISMS官方網(wǎng)站陸續(xù)公布的數(shù)字，全球ISMS證書數(shù)量每年都在成倍增長(zhǎng)，下圖體現(xiàn)了ISMS證書在全球范圍快速的趨勢(shì)。
 
從這些統(tǒng)計(jì)數(shù)字可以看出，ISMS做為管理體系家族的一支新秀，正在成為全球企業(yè)解決信息安全問題、提高其競(jìng)爭(zhēng)力的選擇。

1.5?? 如何建設(shè)ISMS并取得認(rèn)證

組織在確定實(shí)施ISMS建設(shè)及認(rèn)證項(xiàng)目后，通常有兩種途徑可以去操作以取得ISMS認(rèn)證，兩種途徑各有所長(zhǎng)，關(guān)鍵是看組織自身所具備的特點(diǎn)和看問題的角度。
一：組織內(nèi)部成立專人專項(xiàng)工作組，按照計(jì)劃自我實(shí)施。
u? 適合對(duì)象：組織規(guī)模不大、業(yè)務(wù)模式簡(jiǎn)單、信息系統(tǒng)也不復(fù)雜。
u? 優(yōu)??? 點(diǎn)：自我實(shí)施比較經(jīng)濟(jì)快捷。
u? 缺??? 點(diǎn)：要求組織有勝任的人員，且對(duì)信息安全的認(rèn)識(shí)和運(yùn)作已經(jīng)達(dá)到了一定高度。
二：選擇有實(shí)力的咨詢機(jī)構(gòu)，幫助組織完成項(xiàng)目。
u? 適合對(duì)象：組織規(guī)模較大、組織結(jié)構(gòu)相互關(guān)聯(lián)、對(duì)IT的依賴廣泛，更重要的是，組織本身對(duì)信息安全的意識(shí)和運(yùn)作還處于較低水平，或者發(fā)展并不均衡。
u? 優(yōu)??? 點(diǎn)：咨詢機(jī)構(gòu)會(huì)把一些成熟的經(jīng)驗(yàn)移植過來，以最直接快速的方式發(fā)現(xiàn)組織現(xiàn)有問題并對(duì)癥下藥。此外，有經(jīng)驗(yàn)的咨詢機(jī)構(gòu)和顧問通常都能比較好地把握認(rèn)證機(jī)構(gòu)的“偏好“和習(xí)慣，這一點(diǎn)尤其對(duì)最終通過認(rèn)證尤其重要。一般來說，咨詢機(jī)構(gòu)可以在人員培訓(xùn)、全程輔導(dǎo)、后續(xù)支持等方面給予組織大力的支持。
u? 缺??? 點(diǎn)：組織須承擔(dān)相關(guān)的咨詢費(fèi)用。
當(dāng)然，無論是選擇自我實(shí)施，還是請(qǐng)外部的咨詢機(jī)構(gòu)和顧問，組織都應(yīng)該知道，實(shí)施ISMS 認(rèn)證項(xiàng)目，必須要有一套行之有效的方法，事先要對(duì)整個(gè)過程做好計(jì)劃。
在建設(shè)ISMS的方法上，ISO/IEC 27001:2005標(biāo)準(zhǔn)為我們提供了指導(dǎo)性建議，即基于PDCA 的持續(xù)改進(jìn)的管理模式；另一方面，ISMS 實(shí)施及認(rèn)證項(xiàng)目可以借鑒很多成熟的管理體系實(shí)施方法，比如ISO9001 、ISO14001 、TS16949 等管理體系。
 
 

The post ISMS ISO27001認(rèn)證介紹 first appeared on 深圳市安信達(dá)咨詢有限公司.