贯标集团
ISO体系 , 17025实验室认可 , CMA资质 , 涉密信息系统集成
ISO/IEC 27001信息安全管理体系(ISMS)


1

信息是什么



信息是一种资产,既价值连城,又瞬息万变。


在现代企业运行架构中,信息起到了核心作用。


常见的信息可包括:图纸、文档、工艺、配方、原型、产线、计算机代码、合同、财务、基建、人资档案、人员、服务、商务关系等一切对企业有价值的数据及文档。


信息对您和您的客户来说必不可少,是业务达成的核心资源,必须得到维护、保护!






2

信息安全是什么?




保密性:不该知道的人,不让其知道!


完整性:准确、完好。


可用性:需要时能及时获取。


信息资产的保密性、完整性和可用性,就是信息安全!


3

信息资产面临哪些风险?




2023年11月27日—28日,某某出行又双叒叕宕机,大量人员无法打车,已上车的人发现价格显示混乱……


2021年7月4日,国家网信办通报,因存在严重违法违规收集并使用个人信息,某某出行被强制下架,翌年被罚款80多亿元……


2018年8月3日,因为插入U盘维修机台,某芯片代工厂大量机台感染病毒,三个厂区停产……


我们总是面临着黑客、间谍、境外不友好组织、病毒、逻辑炸弹、拒绝服务、钓鱼网站、内外部泄密等威胁。


我们又总是或多或少存在人员疏忽、防火墙未充分配置、网络未隔离、未及时杀毒、未及时升级等弱点。


当威胁利用弱点时,可能造成信息资产的损失,可能造成违约、停产、违法、声誉、财务、行业退出等业务和营收损失,这就是信息安全风险!


4

信息安全管理体系(ISMS)是什么?


党和guojialingdao人非常重视信息安全。2014年,中央网络安全和信息化领导小组(现改为中央网络安全和信息化委员会)成立,同志发表重要讲话,指出没有网络安全就没有国家安全,没有信息化就没有现代化。


自2016年起,《网络安全法》《数据安全法》《个人信息保护法》等数十项法律法规的颁布、施行,标志着我国信息安全工作进入法制阶段。

 

信息安全管理体系由策略、规程、指南和相关资源及活动组成,目的在于保护信息资产,是通过建立、实施、运行、监视、评审、维护和改进信息安全来实现组织业务目标的系统方法。


采用信息安全管理体系是组织的一项战略性决策。


“信息安全”是建立在有价值的信息资产的基础上的。这些信息需要适当的保护,使准确和完整的信息对已授权的需要者及时可用,可促进业务的提升。


信息安全管理体系通过应用风险管理过程来保持信息资产的保密性、完整性和可用性,灵活满足所有行业信息安全需求,充分保护数据资产,降低信息安全风险,有助于为相关方树立信息安全风险得到充分控制的信心。






5

建立并实施信息安全

管理体系的好处有哪些?


信息资产得到持续充分地保护,免受各种威胁,保障业务正常进行,使您放心地进行数字化赋能,促进业务腾飞。


保持一个全面的结构化的框架,以识别和评估信息安全风险,选择和应用适用的控制措施,并测量和改进其有效性。


充分利用管理打造信息安全优势。


持续改进控制措施。


有效地实现法律法规的合规性。


助力成为客户的shouxuan供商。


6

企业如何实施

信息安全管理体系?


创建信息安全组织,建立信息分级与保密制度,识别信息资产,评估并处置风险,实施管理提升和技术完善,必要时进行认证。




在管理提升和技术完善中,可能涉及计算机、OA、门户网站、SCM、CRM,PLM/PDM,ERP/SAP,MES、机房、服务器、网络、网络设备、加密设备、防火墙、入侵检测、上网行为监控、AD域控、视频监控、门禁系统等方面的改进。


7

信息安全管理体系认证?


企业提出信息安全管理体系认证的需求,认证机构通过严谨的认证流程,规范的认证实施过程,对企业信息安全风险得到充分管理的程度进行评价,向政府、社会和客户传递与之关切的信息资产得到充分保护的信心。


认证采用的标准是ISO/IEC 27001《信息安全、网络安全和隐私保护 信息安全管理体系 要求》2022版。国家会适时发布等同采用的国家标准,与guojibiaozhun完全等效。






8

什么样的企业可开展

信息安全管理体系认证工作?




1. 法律地位:具有营业执照的组织,或经其授权的一部分。


2. 信息资产:拥有或管理着任何有价值的信息资产,为核心业务建立了基本的信息系统,已经或有意愿按国际先进ISO/IEC 27001标准来管理信息安全风险,并向客户及相关方传递信任。


3. 已建立信息分级与保密制度,识别信息资产,评估并处置风险,实施管理提升和技术完善。


4. 完成或承诺在审核前完成一次内部审核和管理评审。


5. 信息安全管理体系须在审核前运行3个月以上。


9

信息安全管理体系认证

受理的范围




认证大类

认证类别

02  公共

通信、广播电视,新闻出版,科研,社会保障,医疗服务,教育,其他公共服务等

03  商务

金融,电子商务,物流,咨询中介,旅游、宾馆、饭店,其他商务等

04  产品的生产

电力,铁路,民航,化工,其他化工,石油化工,航空航天,水利,交通运输,信息与通信技术,冶金,采矿,食品、药品、烟草,农、林、牧、副、渔业,建筑施工,金属加工、机械制造,电和光学设备及零部件,汽车及其零部件,批发和零售业、汽车、摩托、个人及家庭用品修理业,其他生产及服务等。



发布时间:2024-11-29
展开全文
拨打电话 微信咨询 发送询价