一、什么是ISMS认证?
1、所谓认证(Certification),即由可以充分信任的第三方认证机构依据特定的审核准则,按照规定程序和方法对受审核方实施审核,以证实某一经鉴定的产品或服务符合特定标准或规范性文件的活动。
2、认证的基础是标准,认证的方法包括对产品的特性的抽样检验和对组织体系的审核与评定认证的证明方式是认证证书与认证标志。通过认证活动,组织可以对外提供某种信任与保证,如产品质量保证、信息安全保证等。
3、针对ISO/IEC 27001:2013的受认可的认证,是对组织信息安全管理体系(ISMS) 符合ISO/IEC 27001要求的一种认证。这是一种通过权威的第三方审核之后提供的保证: 受认证的组织实施了ISMS,并且符合ISO/IEC 27001:2013标准的要求。通过认证的组织,将会被往册登记。
4、SO/IEC 27001:2013可以作为评估组织满足客户、组织本身以及法律法规所确定的信息安全要求的能力的依据。
二、ISMS标准的发展?
ISO27001:2013标准是国际标准化组织ISO/IEC JTC1/SC27最早发布的ISMS系列标准之一。该标准从信息安全的诸多方面,总结了百余项信息安全控制措施,并给出了详细的实施指南,是组织采取控制措施、实现信息安全目标的******选择。
ISO27001:2013标准为组织实施信息安全提供建议,供组织中负责信息安全工作的人员使用。该标准适用于各个领域、不同类型、不同规模的组织。对于标准中提出的任何一项具体的信息安全控制措施,组织应结合本国的法律法规以及组织的实际情况选择使用。
S027001:2013标准是一个通用的信息安全控制措施“集”,包括了信息安全的方方面面,是解诀信息安全问题的******选择。标准从什么是信息安全、为什么需要信息安全、如何建立安全要求和选择控制等问题入手,循序渐进,从11个方面提出了39个信息安全控制目标和133项控制措施。对每一个具体控制措施,标准给出了详细的实施信息,以方便标准的用户使用。值得注意的是,标准推荐的133项控制措施并非信息安全控制措施的全部。组织可以根据自己的情况,选择使用标准以外的控制措施来实现组织的信息安全目标。
三、ISMS信息安全管理体系的三大要素?
保密性: 确保只有经过授权的人才能存取信息。
完整性: 维护提供使用的信息为正确与完整的,未受破坏或篡改。
可用性: 确保经过授权的用户在需要时可以存取信息并使用相关信息。
总的来说,凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论,都是信息安全所要研究的范畴,也是信息安全所要实现的目标。
四、为什么要进行ISMS认证?(武汉市企业政府补贴20万元)
根据CSI/FBI的报告统计,65%的组织至少发生了一次信息安全事故,而在这份报告中同时表明有97%的组织部署了防火墙,96%组织部署了杀毒软件。可见,我们的信息安全手段并不奏效,信息安全现状不容乐观。
实际上,只有在宏观层次上实施了良好的信息安全管理,即采用国际上公认的******实践或规则集等,才能使微观层次上的安全,如物理措施等,实现其恰当的作用。采用ISO/IEC 27001:2013标准并得到认证无疑是组织应该考虑的方案之一。其优点是:
1、预防信息安全事故,保证组织业务的连续性,使组织的重要信息资产受到与其价值相符的保护,包括防范:
1) 重要的商业秘密信息的泄漏、丢失、篡改和不可用;
2) 重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断;
2、节省费用。一个好的ISMS不仅可通过避免安全事故而使组织节省费用,而且也能帮助组织合理筹划信息安全费用支出,包括:
1) 依据信息资产的风险级别,安排安全控制措施的投资优先级;
2) 对于可接受的信息资产的风险,不投资安全控制;
保持组织良好的竞争力和成功运作的状态,提高在公众中的形象和声誉,******限度的增加投资回报和商业机会;
增强客户、合作伙伴等相关方的信任和信心。
五、信息安全的重要性
1、信息及其支持过程的系统和网络都是组织的重要资产。信息的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要。
2、任何组织及其信息系统(如一个组织的ERP系统) 和网络都可能面临着包括计算机辅助欺诈、刺探、阴谋破坏行为、火灾、水灾等大范围的安全威胁。随着计算机的日益发展和普及,计算机病毒、计算机盗窃、服务器的非法入侵破坏已变得日益普遍和错综复杂。
3、目前一些组织,特别是一些较大型公司的业务已经完全依赖信息系统进行生产业务管理,这意味着组织更易
受到安全威胁的破坏。组织内网络的互连及信息资源的共享增大了实现访问控制的难度。
4、有些组织的信息系统尽管在设计时可能已考虑了安全,但仅仅依靠技术手段实现安全仍然是有限的,还应当通过管理和程序来支持。
5、英国曾做过一项统计,80%的信息资料的损失是与人为因素有关的。所以防止人为因素造成的信息风险被作为信息安全的主要控制对象。信息安全是通过执行一套适当的控制来达到的。可以是方针、惯例、程序、组织结构和软件功能来实现,这些控制方式需要确定,才能保障组织特定的安全目标的实现。
六、建立ISMS对组织的意义?
组织可以参照信息安全管理模型,按照先进的信息安全管理标准建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,使信息风险的发生概率和结果降低到可接受水平,并采取措施保证业务不会因风险的发生而中断。组织建立、实施与保持信息安全管理体系将会:
* 强化员工的信息安全意识,规范组织信息安全行为;
* 对组织的关键信息资产进行全面系统的保护,维持竞争优势;
* 在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;
* 使组织的生意伙伴和客户对组织充满信心;
七、ISMS建立和运行的流程
阶段 | 内容 |
策划与准备 | 1、现场论断 |
2、确定信息安全管理体系的方针、目标 | |
3、明确信息安全管理体系的范围。根据组织的特性。地理位置.资产和技术来确 | |
4、对管理层进行信息安全管理体系基本知识培训 | |
5、信息安全体系内部审核员培训 | |
6、建立信息安全管理组织机构 | |
7、实施信息资产评估和分类。识别资产所受到的威胁,薄弱环节和对组织的影响 | |
8、根据组织的信息安全方针和需要的保证程度通过风险评估未确定应实施管理的风险,确定风险控制手段。 | |
体系文件编制 | 9、制定信息安全管理手册和各类必要的控制程序 |
10、制定适用性声明 | |
11、制定商业可持续性发展计划 | |
体系运行 | 12、审核文件、发布实施 |
13、体系运行.有效的实施选定的控制日标和控制方式 | |
审核与评审 | 14、内部审核 |
15、外部第一阶段认证审核 | |
16、外部第二阶段认证审核 | |
17、颁发证书 | |
18、体系持续运行/年度监督审核 | |
19、复评审核(证书三年有效》 |
八、咨询认证所需申请材料?
1.1.认证申请条件
1)申请方应具有明确的法律地位;
2)受审核方已经按照ISMS标准建立文件化的管理体系;
3)现场审核前,受审核方的管理体系至少有效运行三个月并进行了一次完整的内部审核和管理评审;
1.2.ISMS认证须提交的材料清单
1)法律地位证明文件(如企业法人营业执照、组织机构代码证书)
2)有效的资质证明、产品生产许可证强制性产品认证证书等(需要时)
3)组织简介(产品及与产品/服务有关的技术标准、强制性标准、使用设备、人员情况等)
4)申请认证产品的生产、加工或服务工艺流程图;
5)服务场所、多场所需提供清单;
6)管理手册、程序文件及组织机构图;
7)服务器数量以及终端数量;
8)服务计划、服务报告、容量计划