國(guó)內(nèi)認(rèn)證
國(guó)際認(rèn)證
檢測(cè)服務(wù)
新聞資訊
資源中心
關(guān)于恒際
國(guó)內(nèi)認(rèn)證
Domestic certification
國(guó)內(nèi)認(rèn)證
Domestic certification
隨著信息技術(shù)的高速發(fā)展,Internet的問世及網(wǎng)上各種應(yīng)用的普及,信息安全問題日顯突出。系統(tǒng)癱瘓、黑客入侵、病毒感染、網(wǎng)頁改寫、客戶資料的流失及公司內(nèi)部數(shù)據(jù)的泄露等等,這些安全問題已給組織的經(jīng)營(yíng)、管理和生存帶來了嚴(yán)重的影響。如何確保企業(yè)信息系統(tǒng)的安全已成為全社會(huì)關(guān)注的問題。
ISO 27001信息安全管理體系是目前國(guó)際通用的信息安全整體解決方案。作為國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn),被全球廣泛接受和認(rèn)可,成為世界各國(guó)、各種類型、各種規(guī)模的組織解決信息安全問題的一個(gè)有效方法。它可以幫助組織識(shí)別、管理和減少信息所面臨的各種風(fēng)險(xiǎn),保障組織的信息安全。該標(biāo)準(zhǔn)以組織風(fēng)險(xiǎn)評(píng)估為基石,運(yùn)用PDCA過程方法和SOA中的信息安全控制措施來幫助組織解決信息安全問題,實(shí)現(xiàn)信息安全目標(biāo),是組織達(dá)到動(dòng)態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預(yù)防為主的信息安全管理方式。
信息安全對(duì)每個(gè)企業(yè)或組織來說都是需要的,所以ISO 27001信息安全管理體系認(rèn)證具有普遍的適用性,不受地域、產(chǎn)業(yè)類別和公司規(guī)模限制。
從目前獲得認(rèn)證的企業(yè)情況來看,涉及較多的是軟件開發(fā)、系統(tǒng)集成、電信、保險(xiǎn)、銀行、數(shù)據(jù)處理中心等對(duì)信息安全要求較高的行業(yè)。
信息安全管理體系 (ISMS) 是一個(gè)系統(tǒng)化、程序化和文件化的管理體系,屬于風(fēng)險(xiǎn)管理的范疇,體系的建立需要基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評(píng)估。ISMS體現(xiàn)預(yù)防控制為主的思想,強(qiáng)調(diào)遵守國(guó)家有關(guān)信息安全的法律法規(guī),強(qiáng)調(diào)全過程和動(dòng)態(tài)控制,本著控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則,合理選擇安全控制方式保護(hù)組織所擁有的關(guān)鍵信息資產(chǎn),確保信息的保密性、完整性和可用性,從而保持組織的競(jìng)爭(zhēng)優(yōu)勢(shì)和業(yè)務(wù)運(yùn)作的持續(xù)性。
建立健全信息安全管理體系(ISO 27001認(rèn)證)對(duì)企業(yè)的安全管理工作和企業(yè)的發(fā)展意義重大。首先,此體系的建立將提高員工信息安全意識(shí),提升企業(yè)信息安全管理的水平,增強(qiáng)組織抵御災(zāi)難性事件的能力,是企業(yè)信息化建設(shè)中的重要環(huán)節(jié),必將大大提高信息管理工作的安全性和可靠性,使其**地服務(wù)于企業(yè)的業(yè)務(wù)發(fā)展。其次,通過信息安全管理體系的建設(shè),可有效提高對(duì)信息安全風(fēng)險(xiǎn)的管控能力,通過與等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估等工作接續(xù)起來,使得信息安全管理更加科學(xué)有效。*后,信息安全管理體系的建立將使得企業(yè)的管理水平與國(guó)際先進(jìn)水平接軌,從而成長(zhǎng)為企業(yè)向國(guó)際化發(fā)展與合作的有力支撐。
信息安全管理體系適用于所有類型的組織(例如:商業(yè)企業(yè)、政府機(jī)構(gòu)、非盈利組織),包括但不限于,銀行、證券、保險(xiǎn)等金融機(jī)構(gòu);交通、能源等大型國(guó)有企業(yè);互聯(lián)網(wǎng)數(shù)據(jù)中心 (IDC) 服務(wù)提供商;軟件和信息技術(shù)服務(wù)企業(yè);公共管理、社會(huì)保障和社會(huì)組織等。通過實(shí)施ISO/IEC 27001標(biāo)準(zhǔn),能夠使組織給他們的監(jiān)管機(jī)構(gòu)、合作伙伴、客戶和雇員等帶來更加有力的信任,為組織贏得更多的機(jī)遇。
○ 《GB/T 22080-2016/ISO/IEC 27001:2013 信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》
○ 《GB/T 22081-2016/ISO/IEC 27002:2013 信息技術(shù) 安全技術(shù) 信息安全控制實(shí)踐指南》
○ 《ISO/IEC 27003 信息技術(shù) 安全技術(shù) 信息安全管理體系 指南》
○ 《ISO/IEC 27004 信息技術(shù) 安全技術(shù) 信息安全管理 監(jiān)控,測(cè)量,分析和評(píng)估》
○ 《ISO/IEC 27005 信息技術(shù) 安全技術(shù) 信息安全風(fēng)險(xiǎn)管理》
○ 《ISO 31000 風(fēng)險(xiǎn)管理 指南》
通過ISO 27001信息安全管理體系認(rèn)證,在管理制度上可以確保有一套行之有效的管理體系作為企事業(yè)單位運(yùn)行過程的保障,獲得如下收益:
1. 符合法律法規(guī)要求: 信息安全管理體系的實(shí)施,要求組織遵守所有適用的法律法規(guī),從而保護(hù)企業(yè)和相關(guān)方的信息系統(tǒng)安全、知識(shí) 產(chǎn)權(quán)、商業(yè)秘密等。
2. 維護(hù)企業(yè)的聲譽(yù)、品牌和客戶信任: 信息安全管理體系的實(shí)施向合作伙伴、股東和客戶表明組織為保護(hù)信息而付出的努力,令其對(duì)組織的信心加強(qiáng),有助于確定組織在同行業(yè)內(nèi)的競(jìng)爭(zhēng)優(yōu)勢(shì),提升其市場(chǎng)地位。
3. 履行信息安全管理責(zé)任: 信息安全管理體系的實(shí)施能證明組織在信息安全保護(hù)各個(gè)層面上都付出了卓有成效的努力,表明組織履行了相關(guān)責(zé)任。
4. 增強(qiáng)員工的意識(shí)、責(zé)任感和相關(guān)技能: 信息安全管理體系可以強(qiáng)化員工的信息安全意識(shí),規(guī)范組織信息安全行為,減少因?yàn)槿藶樵蛟斐傻牟槐匾膿p失。
5. 保持業(yè)務(wù)持續(xù)發(fā)展和競(jìng)爭(zhēng)優(yōu)勢(shì): 信息安全管理體系的建立,意味著組織核心業(yè)務(wù)賴以持續(xù)的各項(xiàng)信息資產(chǎn)得到了妥善保護(hù),并且建立有效的業(yè)務(wù)持續(xù)性計(jì)劃框架,提升了組織的核心競(jìng)爭(zhēng)力。
6. 實(shí)現(xiàn)業(yè)務(wù)風(fēng)險(xiǎn)管理:信息安全管理體系的實(shí)施有助于組織**地了解自身信息系統(tǒng),并找到存在的問題以及保護(hù)辦法,保證組織自身信息資產(chǎn)能夠在一個(gè)合理而完整的框架下得到妥善保護(hù),確保信息環(huán)境有序而穩(wěn)定地運(yùn)作。
7. 減少損失,降低成本: 信息安全管理體系的實(shí)施,能降低因?yàn)闈撛诎踩录l(fā)生而給組織帶來的損失,在信息系統(tǒng)受到侵襲時(shí),能確保業(yè)務(wù)持續(xù)開展并將損失降到*低程度。
組織按照ISO 27001標(biāo)準(zhǔn)建立信息安全管理體系,會(huì)有一定的投入,但是若能通過如NOA|挪亞這樣權(quán)威公正的認(rèn)證機(jī)構(gòu)的審核并通過認(rèn)證,將會(huì)獲得有價(jià)值的回報(bào)。