泰州9001認證、認證機構、泰州ISO認證 

泰州9001認證、認證機構、泰州ISO認證

    ISO27001  ISO27001標準的起源和發(fā)展
　　信息安全管理實用規(guī)則ISO/IEC27001的前身為英國的BS7799標準，該標準由英國標準協(xié)會（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分：
　　BS7799-1，信息安全管理實施規(guī)則
　　BS7799-2，信息安全管理體系規(guī)范。
　　第一部分對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用；第二部分說明了建立、實施和文件化信息安全管理體系（ISMS）的要求，規(guī)定了根據(jù)獨立組織的需要應實施安全控制的要求。
　　2000年，國際標準化組織（ISO）在BS7799-1的基礎上制定通過了ISO 17799標準。BS7799-2在2002年也由BSI進行了重新的修訂。ISO組織在2005年對ISO 17799再次修訂，BS7799-2也于2005年被采用為ISO27001:2005。
　　標準的主要內(nèi)容
　　ISO/IEC17799-2000（BS7799-1）對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用。該標準為開發(fā)組織的安全標準和有效的安全管理做法提供公共基礎，并為組織之間的交往提供信任。
　　標準指出“象其他重要業(yè)務資產(chǎn)一樣，信息也是一種資產(chǎn)”。它對一個組織具有價值，因此需要加以合適地保護。信息安全防止信息受到的各種威脅，以確保業(yè)務連續(xù)性，使業(yè)務受到損害的風險減至最小，使投資回報和業(yè)務機會最大。
　　信息安全是通過實現(xiàn)一組合適控制獲得的。控制可以是策略、慣例、規(guī)程、組織結構和軟件功能。需要建立這些控制，以確保滿足該組織的特定安全目標。

　　ISO/IEC17799-2000包含了127個安全控制措施來幫助組織識別在運做過程中對信息安全有影響的元素，組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用，或者增加其他附加控制。國際標準化組織（ISO）在2005年對ISO 17799進行了修訂，修訂后的標準作為ISO 27000標準族的第一部分——ISO/IEC 27001，新標準去掉9點控制措施，新增17點控制措施，并重組部分控制措施而新增一章，重組部分控制措施，關聯(lián)性邏輯性更好，更適合應用；并修改了部分控制措施措辭。修改后的標準包括11個章節(jié)：
　　1）安全策略
　　2）信息安全的組織
　　3）資產(chǎn)管理
　　4）人力資源安全
　　5）物理和環(huán)境安全
　　6）通信和操作管理
　　7）訪問控制
　　8）系統(tǒng)系統(tǒng)采集、開發(fā)和維護
　　9）信息安全事故管理
　　10）業(yè)務連續(xù)性管理
　　11）符合性 

　　ISO27001的效益 
　　1、通過定義、評估和控制風險，確保經(jīng)營的持續(xù)性和能力 
　　2、減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責任 
　　3、通過遵守國際標準提高企業(yè)競爭能力，提升企業(yè)形象 
　　4、明確定義所有組織的內(nèi)部和外部的信息接口目標：謹防數(shù)據(jù)的誤用和丟失 
　　5、建立安全工具使用方針 
　　6、謹防技術訣竅的丟失 
　　7、在組織內(nèi)部增強安全意識 
　　8、可作為公共會計審計的證據(jù)
　　認識ISO27001國際標準

　　IT治理和信息安全 
　　近年來企業(yè)高層對內(nèi)部治理需求越來越實際而具體。隨著信息技術普遍滲透到企業(yè)組織中的各個方面，企業(yè)越來越依賴IT系統(tǒng)來處理和儲存各種信息，以保證業(yè)務正常運營，由此IT系統(tǒng)在企業(yè)治理中的作z用越來越明晰，IT治理也逐漸被大多數(shù)企業(yè)認可，成為董事會和企業(yè)內(nèi)部共同關注的領域。IT治理的基礎部分是信息安全保護——包括確保信息的可用性、機密性和完整性——這是其他IT治理環(huán)節(jié)實施的前提。
　　與此同時，和信息安全相關的國際標準已經(jīng)出臺，成為標準IT治理框架中的一大基石。
　　信息安全和法律法規(guī) 
　　業(yè)內(nèi)人士對ISO27001認證趨之若鶩，這其中有兩個關鍵性的驅(qū)動因素：一是日益嚴峻的信息安全威脅，二是不斷增長的信息保護相關法規(guī)的需求。
　　本質(zhì)上說，信息安全威脅是全球化的。一般來說，它將毫無差別地輻射到每一個擁有、使用電子信息的機構和個人。這種威脅在因特網(wǎng)的環(huán)境中自動生成并釋放。更嚴重的問題是，其他各種形式的危險也在整日威脅數(shù)據(jù)安全，包括從外部攻擊行為到內(nèi)部破壞、偷盜等一系列危險。
　　過去的十年內(nèi)，圍繞信息和數(shù)據(jù)安全問題建立起來的法律法規(guī)體系從無到有、不斷壯大，其中包括專門針對個人數(shù)據(jù)保護問題的，也有針對企業(yè)財政、運營和風險管理體系建立的法規(guī)保障問題的。一套正式規(guī)范的信息安全管理體系應當可以提供最佳實踐部署指導。目前，建立這樣的管理體系逐漸成為諸多合規(guī)項目的必要條件，與此同時，針對該管理體系的認證逐漸成為各種組織（包括政府部門）的熱門需求，這份認證可以為他們帶來重要的潛在商業(yè)合同。

　　信息安全標準
　　1995年，英國標準機構（BSI）發(fā)布BS7799標準，即ISMS（信息安全管理體系），旨在規(guī)范、引導信息安全管理體系的發(fā)展過程和實施情況。BS7799標準被外界認為是一個不偏向任何技術、任何企業(yè)和產(chǎn)品供應商的價值中立的管理體系。只要實施得當，BS7799標準將幫助企業(yè)檢查并確認其信息安全管理手段和實施方案的有效性。
　　從企業(yè)外部來看，BS7799關注信息的可用性、機密性和完整性，至今這仍然是這項標準致力達到的目標。BS7799集中關注企業(yè)組織層面上的風險規(guī)避（一定程度上主要是商業(yè)和金融風險），而不包括避免每一個潛在風險的保護措施——盡管它們至關重要。
　　BS7799最初僅有一份文檔，且具有明顯的實踐指南性質(zhì)。也就是說，它為組織提供信息安全指引，但沒有形成規(guī)范，不能為外部第三方審計和認證等提供依據(jù)。隨著越來越多的企業(yè)開始認識到來自信息安全的威脅波及范圍越來越廣，影響程度越來越大，并且關于數(shù)據(jù)和隱私權保護的法律法規(guī)不斷出臺，信息安全標準認證的需求開始不斷增加。
　　這種需求的增加最終促成了該項標準第二部分的出臺，即標準規(guī)范。實踐指南和標準規(guī)范之間的關系是這樣的：標準規(guī)范是認證方案的基礎，同時標準規(guī)范要求實踐者遵從實踐指南的指引。
　　這個實踐指南最近被修訂為ISO/IEC 17799：2005，標準規(guī)范也被修訂為ISO/IEC 27001:2005，逐步得到國際認同。
　　許多國家也已發(fā)布了自己的相關標準，比如AS/NZS7799。這些標準的國際化版本可以在世界任何國家得到認可，這促使了本土化標準的消退（除了基于兩個標準號碼基礎上的本土化標準以外）。
　　認證與遵從
　　一個組織可以僅遵從ISO17799來建立和發(fā)展ISMS（信息安全管理體系），因為實踐指南中的內(nèi)容是普遍適用的。然而，由于ISO17799并非基于認證框架，它不具備關于通過認證所必需的信息安全管理體系的要求。而ISO/EC27001則包含這些具體詳盡的管理體系認證要求。在技術層面來講，這就表明一個正在獨立運用ISO17799的機構組織，完全符合實踐指南的要求，但是這并不足以讓外界認可其已經(jīng)達到認證框架所制定的認證要求。不同的是，一個正在同時運用ISO27001和ISO17799標準的機構組織，可以建立一個完全符合認證具體要求的ISMS，同時這個ISMS體系也符合實踐指南的要求，于是，這一組織就可以獲得外界的認同，即獲得認證。
　　ISO27001認證要求與其他管理標準
　　ISO27001標準是為了與其他管理標準，比如ISO9000和ISO14001等相互兼容而設計的，這一標準中的編號系統(tǒng)和文件管理需求的設計初衷，就是為了提供良好的兼容性，使得組織可以建立起這樣一套管理體系：能夠在最大程度上融入這個組織正在使用的其他任何管理體系。一般來說，組織通常會使用為其ISO9000認證或者其他管理體系認證提供認證服務的機構，來提供ISO27001認證服務。正是因為這個緣故，在ISMS體系建立的過程中，質(zhì)量管理的經(jīng)驗舉足輕重。
　　風險評估和風險應對計劃
　　任何一個ISMS體系的建立和開發(fā)都應當滿足組織獨特的需求。每個組織不僅都有自己獨特的業(yè)務模式、運營目標、形象特點和內(nèi)部文化，他們對待風險的態(tài)度傾向也大相徑庭。換句話說，同一個東西，一個機構組織認為是必須提防的威脅，在另一個組織看來可能是一個必須抓住的機遇。同樣地，各個機構組織對于既有風險防護的投入也參差不齊�；�于以上或者其他原因，每個運行ISMS的組織，其內(nèi)部成員必須對風險評估有一個共識，這個風險評估的方法論、結果發(fā)現(xiàn)和推薦解決方式都必須得到董事會的首肯。
　　著手準備ISMS項目和PDCA流程
　　ISMS項目很復雜，可能持續(xù)若干個月甚至若干年，涉及整個機構組織以及從管理層到收發(fā)部門的每個成員。ISO27001認證誕生時間短，成功的案例比較少。從務實的角度考慮，這表明在項目計劃過程中，必須盡早對這些僅有的指導性的書籍和案例進行分析和研究。
　　ISO27001標準指導一個企業(yè)如何著手開展ISMS項目，并且關注整個項目進程中的若干重要元素。
　　1950年W. Edwards Deming提出PDCA流程，即計劃（Plan）－執(zhí)行（Do）－檢查（Check）－提升（Act）過程，意在說明業(yè)務流程應當是不斷改進的，該方法使得職能部門經(jīng)理可以識別出那些需要修正的環(huán)節(jié)并進行修正。這個流程以及流程的改進，都必須遵循這樣一個過程：先計劃，再執(zhí)行，而后對其運行結果進行評估，緊接著按照計劃的具體要求對該評估進行復查，而后尋找到任何與計劃不符的結果偏差（即潛在改進的可能性），最后向管理層提出如何運行的最終報告。
     
    南通澤林企業(yè)管理有限公司是專業(yè)提供ISO9001質(zhì)量體系認證.ISO14001環(huán)境管理體系認證，OHSAS18001職業(yè)安全健康認證，TS16949認證，haccp認證，ISO22000食品質(zhì)量管理體系認證，ISO13485醫(yī)療器械認證有機食品認證，CE認證，BSCI驗廠，ABS美國船級社認證、BV法國船級社認證、特種設備TSG認證、API美國石油學會認證、系統(tǒng)集成3級4級資質(zhì)認證、cnas實驗室認證、CCS中國船級社認證、高新企業(yè)認定、雙軟件企業(yè)認定、建筑智能化專業(yè)承包三級、機電安裝三級、安全標準化認證、特種設備制造許可證、GB/T50430、沃爾瑪驗廠、  SA8000認證和CCC等產(chǎn)品安全認證咨詢服務于一體的有限公司！

泰州9001認證、認證機構、泰州ISO認證