热门搜索: 武器装备科研生产许可证 装备承制 国军标认证 军工保密认证 GJB5000B 
二级综合医院评审细则
二级综合医院评审标准(2012年版)
医院JCI认证简介
医院通过JCI认证的好处
关于ISO15189医学实验室认可简介
信息安全管理体系认证简介
ISO27001认证咨询服务
信息安全管理体系认证价值和适用范围
中军民联(北京)信息技术研究院
总部地址:北京市海淀区万寿路27号院1号楼
电话:010-68207540  13811449728  
军工咨询部地址:西城区建功西里2号楼608号
电话:010-63564006  13811772246
QQ:2264252400/1794507047
网址:www.zjml.org 
邮箱 : luo@zjml.org

 ISO27001认证咨询
信息安全管理体系认证简介

1、背景介绍

  信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。 安全问题所带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损失:
    直接损失:丢失订单,减少直接收入,损失生产率;
    间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市值或政治声誉;
    法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。

  所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。
  俗话说三分技术七分管理。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
2、标准发展

  目前,在信息安全管理体系方面,ISO27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织,如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。
    20086月,ISO27001同等转换成国内标准GB/T22080-2008,并在2008111日正式实施。经过多年的发展,信息安全管理体系国际标准已经出版了一系列的标准,其中ISO/IEC27001是可用于认证的标准,其他标准可为实施信息安全管理的组织提供实施的指南。目前各标准的现行状态如下表1
  表1 ISO27000标准族现行状态


序号 

标准编号 

标准名称 

现行状态 

1

ISO27000

信息技术 – 安全技术 信息安全管理体系 概论及术语

2009年出版

2

ISO27001

信息技术 – 安全技术 信息安全管理体系 要求

2005年出版

3

ISO/IEC 27002

信息技术 – 安全技术 信息安全管理 为规范

2005年出版

4

ISO/IEC 27003

信息技术 – 安全技术 信息安全管理体系 实施指南

2010年出版

5

ISO/IEC 27004

信息技术 – 安全技术 信息安全管理测量

2009年出版

6

ISO/IEC 27005

信息技术 – 安全技术 信息安全风险管理

2008年出版

7

ISO/IEC 27006

信息技术 – 安全技术 认证机构要求

2007年出版

8

ISO/IEC 27007

信息技术 – 安全技术 信息安全管理体系审核指南

委员会草案

9

ISO/IEC 27008

控制审核员指南

委员会草案

10

ISO/IEC 27010

行业间交流的信息安全管理

工作组草案

11

ISO/IEC 27011

信息技术 – 安全技术 基于ISO/IEC 27002通讯行业信息安全管理体系

2008年出版

12

ISO/IEC 27013

信息技术 – 安全技术 -? ISO/IEC 20000-1及 ISO/IEC 27001一体化实施指南

工作组草案

13

ISO/IEC 27014

信息安全治理框架

工作组草案

14

ISO/IEC 27015

金融及保险行业信息安全管理体系

批准的项目

15

ISO/IEC 27031

信息技术 – 安全技术 – 业务连续性的ICT准备能力指南

最终委员会草案

16

ISO/IEC 27032

信息技术 – 安全技术 – 网络空间安全指南

委员会草案

17

ISO/IEC 27033-1

信息技术 – 安全技术 – 网络安全 – 1部分:概述和概念

2009年出版

18

ISO/IEC 27033-2

信息技术 – 安全技术 – 网络安全 – 2部分:设计和实施网络安全指南

最终委员会草案

19

ISO/IEC 27033-3

信息技术 – 安全技术 – 网络安全 – 3部分:参考网络情境 – 威胁、设计技术和控制活动

最终委员会草案

20

ISO/IEC 27033-4

信息技术 – 安全技术 – 网络安全 – 4部分:使用安全网关确保网络间的通信安全 – 威胁、设计技术和控制活动

工作组草案

21

ISO/IEC 27034-1

应用安全 – 1部分:概述和概念

最终委员会草案

22

ISO/IEC 27034-2

应用安全 – 2部分:组织规范性框架

批准的新项目

23

ISO/IEC 27034-3

应用安全 – 3部分:应用安全管理过程

批准的新项目

24

ISO/IEC 27034-4

应用安全 – 4部分:应用安全确认

批准的新项目

25

ISO/IEC 27034-5

应用安全 – 5部分:协议和应用安全控制的数据结构

批准的新项目

26

ISO/IEC 27035

信息技术 – 安全技术 – 信息安全事件管理

最终委员会草案

27

ISO/IEC 27036

信息技术 – 安全技术 – 外包安全指南

批准的新项目

28

ISO/IEC 27037

识别、收集、获取和保存数字证据指南

工作组草案

29

ISO/IEC 27038

信息技术 – 安全技术 – 数字化修订详述

批准的新项目


3ISO27001标准内容简介

  ISO270012005标准包括11大控制领域(见图1)、39个控制目标和133项控制措施,为组织提供全方位的信息安全保障。


4、标准特点

注重体系的完整性,是一套科学的信息安全管理体系

强调对法律法规的符合性

以风险评估为基础,采用PDCA的过程方法

适用于各种类型、不同规模和业务性质的组织

与其他管理体系兼容(例如ISO9000标准等)

京公安网安备:110102002117  京ICP备13035371号-1  Copyright©2013 中军民联信息技术研究院
通讯地址:北京市海淀区万寿路27号院1号楼 邮编:100846  电话:010-68207652 法律顾问:赵国宁律师

网站建设:技术支持
保密产品:
点击这里给我发消息
军工四证:
点击这里给我发消息
GJB5000A:
点击这里给我发消息
综合服务:
点击这里给我发消息