ISO/IEC 27001信息安全管理体系(ISMS)
1
信息是什么?
信息是一种资产,既价值连城,又瞬息万变。
在现代企业运行架构中,信息起到了核心作用。
常见的信息可包括:图纸、文档、工艺、配方、原型、产线、计算机代码、合同、财务、基建、人资档案、人员、服务、商务关系等一切对企业有价值的数据及文档。
信息对您和您的客户来说必不可少,是业务达成的核心资源,必须得到维护、保护!
2
信息安全是什么?
保密性:不该知道的人,不让其知道!
完整性:准确、完好。
可用性:需要时能及时获取。
信息资产的保密性、完整性和可用性,就是信息安全!
3
信息资产面临哪些风险?
2023年11月27日—28日,某某出行又双叒叕宕机,大量人员无法打车,已上车的人发现价格显示混乱……
2021年7月4日,国家网信办通报,因存在严重违法违规收集并使用个人信息,某某出行被强制下架,翌年被罚款80多亿元……
2018年8月3日,因为插入U盘维修机台,某芯片代工厂大量机台感染病毒,三个厂区停产……
我们总是面临着黑客、间谍、境外不友好组织、病毒、逻辑炸弹、拒绝服务、钓鱼网站、内外部泄密等威胁。
我们又总是或多或少存在人员疏忽、防火墙未充分配置、网络未隔离、未及时杀毒、未及时升级等弱点。
当威胁利用弱点时,可能造成信息资产的损失,可能造成违约、停产、违法、声誉、财务、行业退出等业务和营收损失,这就是信息安全风险!
4
信息安全管理体系(ISMS)是什么?
党和guojialingdao人非常重视信息安全。2014年,中央网络安全和信息化领导小组(现改为中央网络安全和信息化委员会)成立,同志发表重要讲话,指出没有网络安全就没有国家安全,没有信息化就没有现代化。
自2016年起,《网络安全法》《数据安全法》《个人信息保护法》等数十项法律法规的颁布、施行,标志着我国信息安全工作进入法制阶段。
信息安全管理体系由策略、规程、指南和相关资源及活动组成,目的在于保护信息资产,是通过建立、实施、运行、监视、评审、维护和改进信息安全来实现组织业务目标的系统方法。
采用信息安全管理体系是组织的一项战略性决策。
“信息安全”是建立在有价值的信息资产的基础上的。这些信息需要适当的保护,使准确和完整的信息对已授权的需要者及时可用,可促进业务的提升。
信息安全管理体系通过应用风险管理过程来保持信息资产的保密性、完整性和可用性,灵活满足所有行业信息安全需求,充分保护数据资产,降低信息安全风险,有助于为相关方树立信息安全风险得到充分控制的信心。
5
建立并实施信息安全
管理体系的好处有哪些?
信息资产得到持续充分地保护,免受各种威胁,保障业务正常进行,使您放心地进行数字化赋能,促进业务腾飞。
保持一个全面的结构化的框架,以识别和评估信息安全风险,选择和应用适用的控制措施,并测量和改进其有效性。
充分利用管理打造信息安全优势。
持续改进控制措施。
有效地实现法律法规的合规性。
助力成为客户的shouxuan供商。
6
企业如何实施
信息安全管理体系?
创建信息安全组织,建立信息分级与保密制度,识别信息资产,评估并处置风险,实施管理提升和技术完善,必要时进行认证。
在管理提升和技术完善中,可能涉及计算机、OA、门户网站、SCM、CRM,PLM/PDM,ERP/SAP,MES、机房、服务器、网络、网络设备、加密设备、防火墙、入侵检测、上网行为监控、AD域控、视频监控、门禁系统等方面的改进。
7
信息安全管理体系认证?
企业提出信息安全管理体系认证的需求,认证机构通过严谨的认证流程,规范的认证实施过程,对企业信息安全风险得到充分管理的程度进行评价,向政府、社会和客户传递与之关切的信息资产得到充分保护的信心。
认证采用的标准是ISO/IEC 27001《信息安全、网络安全和隐私保护 信息安全管理体系 要求》2022版。国家会适时发布等同采用的国家标准,与guojibiaozhun完全等效。
8
什么样的企业可开展
信息安全管理体系认证工作?
1. 法律地位:具有营业执照的组织,或经其授权的一部分。
2. 信息资产:拥有或管理着任何有价值的信息资产,为核心业务建立了基本的信息系统,已经或有意愿按国际先进ISO/IEC 27001标准来管理信息安全风险,并向客户及相关方传递信任。
3. 已建立信息分级与保密制度,识别信息资产,评估并处置风险,实施管理提升和技术完善。
4. 完成或承诺在审核前完成一次内部审核和管理评审。
5. 信息安全管理体系须在审核前运行3个月以上。
9
信息安全管理体系认证
受理的范围
认证大类 | 认证类别 |
02 公共 | 通信、广播电视,新闻出版,科研,社会保障,医疗服务,教育,其他公共服务等 |
03 商务 | 金融,电子商务,物流,咨询中介,旅游、宾馆、饭店,其他商务等 |
04 产品的生产 | 电力,铁路,民航,化工,其他化工,石油化工,航空航天,水利,交通运输,信息与通信技术,冶金,采矿,食品、药品、烟草,农、林、牧、副、渔业,建筑施工,金属加工、机械制造,电和光学设备及零部件,汽车及其零部件,批发和零售业、汽车、摩托、个人及家庭用品修理业,其他生产及服务等。 |
- 信息安全管理体系建设和认证项目案例 2024-11-07
- ISO27001的认证内容 2024-11-07
- 如何建立信息安全管理体系27001 2024-11-07
- ISO/IEC 20000证书的有效期和年审 2024-11-07
- ISO/IEC 20000现场审核关注要点 2024-11-07
- 申请ISO/IEC 20000认证需要的材料 2024-11-07
- ISO/IEC 20000认证的基本条件和流程 2024-11-07
- ISO/IEC 20000认证适用范围 2024-11-07
- 涉密网络布线工程施工要求与注意问题 2024-11-07
- 干货!涉密信息系统集成资质具体分类 2024-11-07
- 涉密网络布线工程的特点 ?如何设计施工? 2024-11-07
- 涉密智能化项目如何建设?与非涉密智能化项目布线有何区别? 2024-11-07
- 涉密系统【综合布线资质】申请条件 2024-11-07
- 压力管道安装、改造、重大修理——特种设备安装、改造、修理许可 2024-11-07
- 江苏浙江食品行业发展必备认证 2024-11-07