電話:+86-0510-81817074
傳真:+86-0510-85387595
郵編:214135
地址:江蘇省無錫市新區清源路太湖國際科技園530創業大廈C棟3樓
E-mail:[email protected]
網站:www.apzkjs.live

ISO27001

        信息安全是一個廣泛而抽象的概念,不同領域不同方面對其概念的闡述都會有所不同。建立在網絡基礎之上的現代信息系統,其安全定義較為明確,那就是:保護信息系統的硬件、軟件及相關數據,使之不因為偶然或者惡意侵犯而遭受破壞、更改及泄露,保證信息系統能夠連續、可靠、正常地運行。在商業和經濟領域,信息安全主要強調的是消減并控制風險,保持業務操作的連續性,并將風險造成的損失和影響降低到最低程度。


標準的起源和發展

 

目前的普遍應用
  ISO27001目前已經被普遍應用于軟件、銀行、電信、印刷、政府等行業,業內人士對ISO27001認證喜聞樂見,這其中有兩個關鍵性的驅動因素:一是日益嚴峻的信息安全威脅,二是不斷增長的信息保護相關法規的需求。
      本質上說,信息安全威脅是全球化的。一般來說,它將毫無差別地輻射到每一個擁有、使用電子信息的機構和個人。這種威脅在因特網的環境中自動生成并釋放。更嚴重的問題是,其他各種形式的危險也在整日威脅數據安全,包括從外部攻擊行為到內部破壞、偷盜等一系列危險。
      過去的十年內,圍繞信息和數據安全問題建立起來的法律法規體系從無到有、不斷壯大,其中包括專門針對個人數據保護問題的,也有針對企業財政、運營和風險管理體系建立的法規保障問題的。一套正式規范的信息安全管理體系應當可以提供最佳實踐部署指導。目前,建立這樣的管理體系逐漸成為諸多合規項目的必要條件,與此同時,針對該管理體系的認證逐漸成為各種組織(包括政府部門)的熱門需求,這份認證可以為他們帶來重要的潛在商業合同。


實施價值

針對性

獲益點

簡單說明

法律法規

遵守適用法律

證書的獲得,可以向權威機構表明,組織遵守了所有適用的法律法規。從一定角度講,ISO27001標準是對適用法律法規的補充和注解,因為ISO27001標準本身的制訂,是參照了業界最通行的實踐措施的,而這些實踐措施,在很多國家相關的信息保護法規中都有體現(例如美國的SOX法案、HIPAA、個人隱私法、計算機安全法、GLBA、政府信息安全修正法案等);另一方面,很多國家所推行的相關的行業指導性文件及要求,又可能是參照ISO27001而擬定的。因此,通過ISO27001認證,可以使組織更有效地履行國家法律和行業規范的要求。

外部期望

提升信譽,增強信心

當合作伙伴、股東和客戶看到組織為保護信息而付出的努力時,其對組織的信心將得到加強。同樣的,證書的獲得,有助于確定組織在同行業內的競爭優勢,提升其市場地位。事實上,現在很多國際性的投標項目已經開始要求ISO27001符合性了。

管理層

履行責任

證書的獲得,本身就能證明組織在各個層面的安全保護上都付出了卓有成效的努力,表明管理層履行了相關責任。

員工

增強意識、責任感和相關技能

提升員工的安全意識,增強其責任感,減少人為原因造成的不必要的損失。

核心業務

保證持續運行

全面的信息安全管理體系的建立,意味著組織核心業務所賴以持續的各項信息資產得到了妥善保護,并且建立有效的業務持續性計劃框架。

信息環境日常運作

實現風險管理

有助于更好地了解信息系統,并找到存在的問題以及保護的辦法,保證組織自身的信息資產能夠在一個合理而完整的框架下得到妥善保護,確保信息環境有序而穩定地運作。

財務狀況

減少損失,降低成本

ISMS的實施,本身也能降低因為潛在安全事件發生而給組織帶來的損失,另外,也有可能減少保險金支出。


咨詢流程


1.咨詢組首先進行公司現有業務戰略、組織、資源的理解,進行服務范圍的確認;

2.根據差距分析報告,確定公司ISMS的范圍,進行風險評估;

3.根據業務、組織、位置、資產和技術等方面的特性,確定ISMS方針、目標;

4.ISO27001基本知識簡介、實施意義和步驟、國際標準條款具體講解說明及相關知識的培訓; 

5.咨詢組提供整體性框架建議,經雙方修正后據此作為實施的基本結構;

6.管理體系內部審核,并整改及其跟蹤。

7.協助通過ISO27001認證。

 

風險分析

 

風 險

  

    

 

 

 公司日常的商業事件沖突和經營壓力造成沒有時間支持ISO27001工作;

 公司領導和全體相關人員充分認識這一最大風險,通過項目管理合理計劃和分配資源。NCT優秀計劃能力,提前安排和計劃資源。

 公司較大的依賴顧問/評估方的替代性工作,造成結果的適用性差;

 相關人員合理安排時間,充分了解公司實施ISO27001的必要性。咨詢方提供良好的培訓方式,加強員工完成項目的自信心

 

 

 ISO27001項目之目標和范圍的修正;

 加強診斷工作和雙方溝通。

 項目實施中的人員利益沖擊;

 該風險難規避,加強人事管理。


?
陕西快乐十分走势图电子版