精华内容
下载资源
问答
  • iso27001信息安全管理体系的讲义,分14个区块进行辅导
  • ISO27001信息安全管理体系

    万次阅读 2018-11-05 18:59:00
    初入甲方,刚开始接触的应该就是ISO27001信息安全管理体系,你拿到的应该就是一整套安全管理类的文档。在甲方,稍微有点规模的公司很注重制度和流程,岗位职责分工明细,那么这些安全管理制度,就是你所能掌控的...

    0x00 前言

      初入甲方,刚开始接触的应该就是ISO27001信息安全管理体系,你拿到的应该就是一整套安全管理类的文档。在甲方,稍微有点规模的公司很注重制度和流程,岗位职责分工明细,那么这些安全管理制度,就是你所能掌控的游戏规则,几个人的信息安全部生存之道。

    0x01 ISO27001简介

      ISO/IEC27001 信息安全管理体系(ISMS——information security management system)是信息安全管理的国际标准。最初源于英国标准BS7799,经过十年的不断改版,最终再2005年被国际标准化组织(ISO)转化为正式的国际标准,目前国际采用进一步更新的ISO/IEC27001:2013作为企业建立信息安全管理的最新要求。该标准可用于组织的信息安全管理建设和实施,通过管理体系保障组织全方面的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的信息安全管理。

    目前国际上普遍采用ISO/IEC27001:2013作为企业建立信息安全管理体系的最新要求,体系包括14个控制域、35个控制目标、114项控制措施。体系控制域内容如下:

      ISO/IEC27001 信息安全管理体系,即Information Security Management System,简称ISMS。概念最初源于英国标准BS7799,经过十年的不断改版,最终再2005年被国际标准化组织(ISO)转化为正式的国际标准,目前国际采用进一步更新的ISO/IEC27001:2013作为企业建立信息安全管理的最新要求。该标准可用于组织的信息安全管理建设和实施,通过管理体系保障组织全方面的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的信息安全管理。

    Plan规划:信息安全现状调研与诊断、定义ISMS的范围和方针、定义风险评估的系统性方针、资产识别与风险评估方法、评价风险处置的方法、明确控制目标并采取控制措施、输出合理的适用性声明(SOA);

    DO:实施控制的管理程序、实施所选择的控制措施、管理运行、资源提供、人员意识和能力培训;

    Check:执行监视和测量管理程序、实施检查措施并定期评价其有效性、评估残余风险和可接受风险的等级、ISMS内部审核、ISMS管理评审、记录并报告所有活动和事态事件;

    Act:测量ISMS业绩、收集相关的改进建议并处置、采取适当的纠正和预防措施、保持并改进ISMS确保持续运行。

    0x02 企业需求与认证收益

    企业的需求:

    符合政府法律法规及相关部门审核标准

    实现公司可持续发展

    进一步树立和完善企业内部信息安全管理

    加强客户信息安全保护

    提升客户管理服务满意度

    认证的收益:

    提升客户对于公司产品和服务信任度和满意度

    展示公司服务的安全性,极大提升行业竞争力

    与国际信息安全标准接轨,树立行业标杆,有利于在世界范围内开展与其他企业的合作与交流

    显著提高企业内部的IT信息安全管理规范,改善员工对于信息安全服务及IT管理认知

    提升自身品牌形象,进一步贴近客户需求,为客户提供优质可靠的IT服务

    0x03 ISO27001认证

    ISO27001作为信息安全管理标准,为信息安全管理体系(ISMS)的建立、实施、运行、监视、评审、保持和持续改进提供了模型和必要的控制目标和措施,是ISMS顺利实施的最佳指南。

    一般企业建立实施至少需要3个月时间,进度如下:

    没有经历过文档编写、内审、外审,未免有点遗憾,抱着对ISO27001体系建设的好奇,在先知找到了两篇文章,分享了作者在ISO27001体系建设从无到有的过程。

    从无到有通过ISO27001认证-建设篇

    https://xz.aliyun.com/t/106

    从无到有通过ISO27001认证-审核篇

    https://xz.aliyun.com/t/104

    0x04 END

      ISO27001是信息安全领域的管理体系标准,使用范围广,它面向的对象是组织,通过了ISO27001的认证,表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。企业将以此为起点持续改进和深化体系的执行,在公司软件资产受控的前提下持续为客户提供安全可靠的软件产品和服务。

    在学习,也一直在路上,加油!

    本文由Bypass整理总结,部分词条摘自网络。

    最后

    欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。 

     

    参考链接:

    http://www.byiso.com.cn/category/view?id=20

    https://www.bsigroup.com/zh-CN/iso-27001-information-security/

    https://mp.weixin.qq.com/s/bPvLO4vgPcsMZaHDPXLGqg

    http://www.renzhunta.com/iso27001/detail.jhtml

    展开全文
  • ISO/IEC 27001 信息安全管理体系要求信息安全管理体系要求
  • ISO 27001信息安全管理体系,ISO17799/BS7799 信息安全管理体系简介
  • ISO27001信息安全管理体系全套文件
  • ISO27001信息安全管理体系及其适用性声明(SOA)
  • 在项目立项前期,也就是售前阶段需要与客户进行沟通并了解客户为什么做信息安全体系建立,举例如ISO/IEC 27001信息安全管理体系,国内大部分公司主要的意图为以下几种: 1、相关方要求:公司的供应商会对...

    作为乙方如何更好的为甲方建立信息安全体系

    体系建立的重要几点
    1、了解客户的需求;
    2、根据需求制定信息安全方案;
    3、领导层的支持;
    4、全体员工的配合;
    5、足够的乙方服务能力

    了解客户需求

    在项目立项前期,也就是售前阶段需要与客户进行沟通并了解客户为什么做信息安全体系建立,举例如ISO/IEC 27001信息安全管理体系,国内大部分公司主要的意图为以下几种:

    1、相关方要求:公司的供应商会对“你”有ISO27001是否通过的需求,如果没有在合作方面会有阻碍;

    2、投标:这个投标的话比较直接了当,有些公司为了自己的项目投标,然而他们标书的要求会有一票否决项,不过ISO27001不得参加;

    3、“给自己的客户心里安慰”:什么意思?就是做有些公司是to-B的为了给自己的客户心里安慰单纯的为了拿证书;

    4、公司自主要求:这一类客户是好客户,配合度高,能够实施落地,并且这种客户以外企为主。

    总结一句话:国内企业先赚钱再管理,外企是先管理再赚钱,这就是不同类型企业针对信息安全管理建设的不同差异

    制定安全方案

    安全方案就是根据客户的需求来制定,并且需要符合客户的实际情况,我们就拿实打实的做体系建设来说,我之前做过一个客户,某电商平台,国内数一数二的,并且他们有自己的信息安全团队,并且规模很大,通过了解他们日常的信息安全做的很好,并且也依据很多体系标准来制定公司内部的信息安全管理策略,像等保2.0、ISO27001、ISO27018、ISO27701、ISO20000等,他们的自主性很高,通过前期的沟通,他们的痛点是物理环境安全、人员权限和PII数据保护。

    物理安全

    他们物理安全的痛点有哪些:
    1、办公区域无任何隔离,为了追求无约束的办公环境,一些重要的财务、法务、信息安全部门均未进行物理隔离,通过现场查看可以看到他们即使在处理敏感的数据也未进行任何安全防护;
    2、由于是电商平台嘛,大部分都是比较年轻化的员工,并不喜欢佩戴员工卡,进出办公区域都是刷脸,并且门禁不是自动上锁的门禁,而且员工自己信息安全方面意识较为薄弱,即使外来人员尾随都没有人意识到,可以自由在办公区域走动;

    人员权限

    他们的人员权限比较混乱,主要有以下一个方面:
    1、不属于该部门的人员拥有该部门所涉及系统的最高权限;
    2、作为数据导出专员,可以导出大量的个人数据,并且是落到本地,而且也没有Backup人选;
    3、所有人员拥有打印权限。

    PII数据防护

    作为电商平台接触最多的数据肯定是用户的PII数据,用户在该平台购买东西,他的个人数据姓名、电话、住址都会保存,并且这家企业虽然有相应的管控措施但是也有一些解决不了的问题:
    1、客服人员能够接触PII数据并且即使在家办公也会接触,虽然电脑终端有加密软件但是不能够管控到拍照;
    2、即使上了加密系统但是该系统有相应的缺陷,从某牛上下载数据不能够主动加密;

    以上为他们企业的痛点,但是针对PII数据即使上DLP、加密系统等安全防护产品还是不能防范他们进行拍照,这一风险只有接受,(注:希望大佬给出意见

    最后:下次再聊吧,这个项目我独立完成并且已经完成该企业的ISO27001审核。本人喜欢沟通交流,谢谢。

    展开全文
  • ISO 27001信息安全管理体系审核员试题汇编之单项选择题
  • 信息安全架构体系,组织应根据整体业务活动及其面临的风险,建立、实施、运作、监视、评审、 保持并改进文件化的信息安全管理体系。本标准应用了图1所示的PDCA模式。
  • 信息安全管理体系简介 ISMS的目标是透过整体规划的信息安全解决方案,来确保企业所有信息系统和业务的安全,并保持正常运作。 ISMS利用风险分析管理工具,结合企业资产列表和威胁来源的调查分析及系统安全弱点评估...
  • 企业的ISO27001信息安全管理体系是需要怎么建立呢? 1.确立管理系统使用的范围 必须覆盖到公司的每一个职能部门,或者覆盖公司信息系统相连的外部机构,例如合作伙伴、供应商等。同时从系统层次考虑覆盖网络系统、...

    信息安全管理体系(Information security management system),此标准已成为世界上应用最广泛与典型的信息安全管理标准,主要用于保障组织的信息安全,适用于各种性质、规模的组织。企业的ISO27001信息安全管理体系是需要怎么建立呢?

    1.确立管理系统使用的范围

    必须覆盖到公司的每一个职能部门,或者覆盖公司信息系统相连的外部机构,例如合作伙伴、供应商等。同时从系统层次考虑覆盖网络系统、服务器平台系统、数据、安全管理、应用系统以及支撑信息系统的场所和所处的周边环境以及场所内,确保计算机系统正常运营的设施设备等。

    2.安全风险评估

    企业技术类的评估和主要包括企业安全管理类的评估。
    安全管理评估的内容包括与ISO27001信息安全管理体系相关的11个方面,包括信息安全政策、安全组织、资产分类与控制、人员安全、物理与环境安全、通信与运行管理、访问控制等,系统开发和维护、安全事件管理、业务连续性管理和合规性。
    安全技术评估是基于资产安全等级的分类。通过对信息设备的安全扫描和安全设备的配置,对现有网络设备、服务器系统、终端和网络安全架构的安全状况和薄弱环节进行检查和分析,为安全加固提供依据。

    3.规划系统建设方案

    规划系统建设方案在风险评估的基础上,针对企业存在的安全风险提出安全建议,提高系统的安全性和抗攻击能力。

    4.信息安全体系建设与运行

    系统建设以信息安全模式和企业信息化为基础,兼顾内外部安全功能。规划信息安全技术可以从安全基础设施、网络、系统和应用四个方面进行规划。

    5.改进

    ISO27001认证标准信息安全管理体系文件编制完成后,按文件控制的要求进行评审和批准,有效的体系文件下发到各部门,保持体系运行过程中的记录,定期进行内部审核和管理评审,对不符合或潜在不符合项采取纠正和预防措施,不断完善信息安全管理体系。

    展开全文
  • 企业信息安全管理体系国际认证iso27001认证建设过程概述,帮助企业快速熟悉过程,减少不必要的时间。
  • 信息安全管理转化国标 GBT 22080-2008 :iso27001 信息安全管理体系要求
  • 近日,谷露软件连续第三年成功通过ISO27001信息安全管理体系认证年审,持续验证了谷露可靠的信息安全监管与防护能力,也进一步体现了谷露全力保障用户信息资产的决心。截止目前,谷露软件是国内市场上唯一建立起国际...

    ISO27001一直被公认为是最严格的国际安全控制实施与管理标准。近日,谷露软件连续第三年成功通过ISO27001信息安全管理体系认证年审,持续验证了谷露可靠的信息安全监管与防护能力,也进一步体现了谷露全力保障用户信息资产的决心。截止目前,谷露软件是国内市场上唯一建立起国际标准信息安全体系、拥有国际通行信息安全认证证书的猎头招聘管理系统供应商。

    谷露软件创始人兼CEO施润春(Kevin Shi)表示:“信息安全是谷露与客户成功合作的基石,因此在创业之初,我们就将保障客户信息安全作为重中之重,制定了相关信息安全合规制度。虽然短期看这会增加我们的运营成本,但是我们愿意面向未来进行投资。即使今年这样的特殊时期,也不会动摇我们构建信息安全护城河的决心。

    谷露一方面在技术层面不断革新,提高防护能力,另一方面也重视对员工进行持续的培训和考核,确保谷露人认同并遵循较高的行业标准。

    “随着谷露客户数量的增加,为了提供更严密的防护,我们主动选择用国际广泛认可的权威标准来对自身进行更严格的要求与规范,即使我们的客户在选择招聘管理系统的时候并没有明确要求供应商必须具备ISO27001证书。”谈及为何要申请ISO27001认证,Kevin这样回答,“我们看到市场上有些企业走的是从被动合规到逐步开始主动合规的道路。而在谷露,我们倡导的是从主动合规到在企业内部形成合规文化,逐步把合规运营能力变成谷露的一种市场竞争力。因为我们的愿景是成为受全球客户尊重的SaaS供应商,我们的认知水平和运营水平方面都需要与世界市场接轨。”

    基于创始团队与谷露全体员工对于信息安全的高度重视,谷露早在2018年就已经组建专业的安全团队,通过建立ISO27001信息安全管理体系,获得英国皇家认可委员会颁发的ISO/IEC 27001:2013证书。在这套信息安全“组合拳”的覆盖下,确保客户数据的机密性、完整性和可用性。

    Kevin还表示:“谷露的愿景是成为一家在HR SaaS领域持续为客户创造价值的公司。我们从最初就很明确,要打造健康的、可持续发展的商业模式,追求与客户建立长期的信任伙伴关系。”

    目前谷露已经连续数年保有业内最高水平的信息安全保障体系,致力于成为招聘管理系统和解决方案供应商中在信息安全方面的行业标杆。

    大数据时代,数据成为了企业至关重要的无形资产,企业对信息安全、数据安全的重视程度也日益增加。另一方面,我国数据应用的法治化势在必行,信息安全问题开始逐渐成为各行各业关注的要点。

    作为世界上应用最广泛与典型的信息安全管理标准,ISO27001国际信息安全管理体系认证标准采用以风险管理为核心的方法来管理信息资产。企业在首次审核通过后,每年都需要持续进行续证审核,而续证审核的标准完全不低于首次审核,以确保企业严格并持续地依据标准运营,优化自己的信息安全管理体系。

    为建立ISO27001的信息安全管理体系,谷露在2018年耗时半年对公司的信息安全管理制度进行从上至下进行全面改造与升级,涉及多达14个控制域、35个控制目标及114项控制措施。

    谷露采取的部分措施有:

    • 建立信息安全委员会,由专人负责设计和执行信息安全管理制度,委员会成员包括研发总监和同时具备中美两国法律执业资格的律师。
    • 建立完善的信息安全策略、信息资产的风险评估,通过风险评估选择技术措施,并按照相应的安全策略和流程规范来实施,例如,在系统开发与维护过程中实时控制和定期巡检;采取数据加密传输、数据双活热备、运维7X24监控等技术手段杜绝未经授权的访问。
    • 建立有效的业务持续性计划框架,制定应急方案和操作流程。
    • 对技术和客户成功部门关键角色进行信息安全管理培训和绩效考核。

    整套体系从数据私密性、可用性和完整性三方面进行全面考量。通过以上多种控制手段,谷露在物理安全、网络安全、设备安全、信息系统安全、人员安全管理等方面均达到了国际化水准。

    谷露成立八年以来,累计已经服务逾10万名招聘专业人员,为2000多家企业的信息安全保驾护航。谷露珍视所有客户的信任,将一如既往地坚守对客户信息安全保障的郑重承诺。

    展开全文
  • 成功通过OWASP level2、SOC 3、ISO27001信息安全管理体系认证 Stratifyd合规平台最高安全级别数据保护 近日,全球领先的大数据AI分...
  • 华为信息安全管理体系建设项目的咨询服务方案
  • 信息安全管理体系——规范与使用指南 标准能用于内部、外部包括认证组织使用,对于安全体系建设有一定参考意义
  • ISO27001认证全称认证是关于信息安全管理体系认证,企业办理ISO27001认证证书,可有效的保证该企业在信息安全领域的安全可靠性,有效的减少企业信息泄密的问题,能更好的保存我们企业的核心数据。 以下是全方位的为...
  • 依据ISO27001标准进行信息安全管理体系建设,是当前各行业组织在推动信息安全保护方面最普遍的思路和正确的先进决策。 ISO27001的效益: 1、通过定义、评估和控制风险,确保经营的持续性和能力 2、减少由于合同违规...
  • 等级保护体系与ISO27000体系对比,等级保护工作与ISO27000实施时存在的难点,等级保护工作与ISO27000体系相互补充融合的意义
  • 随着5G的快速发展,大数据应用的深度开发,云端信息技术在众多...ISO27001信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。ISO27001信息安全管理体系认证旨在提升
  • 全套文档,非清单,请放心下载
  • 近日,云创大数据通过ISO/IEC 27001:2013信息安全管理体系认证,完成了信息安全管理机制与国际标准的接轨。此次通过认证的范围包括:云创提供的服务器(CCC证书...
  • 例如斯诺登事件的发生,为国家、企业和个人敲响了安全警钟,纷纷加强信息安全管理,保护隐私和数据安全,国家也加强了信息安全方面的立法。 ISO27001国际标准认证是当今国际上最权威、最严格,也是最被广泛接受和...
  • 本文档系统的介绍了ISO27001认证过程中所需要的人员管理制度、设备日常巡检制度、机房管理制度、信息安全事件管理制度、业务连续性管理制度等
  • 一、ISO 27001 是什么?...其正式名称为:《ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系-要求》 二、ISO 27001 有何用途? ISO 27001 用于为建立、实施、运行、监视、评审、保持和改进信息安全...
  • ISO/IEC 27001 信息安全管理体系认证

    千次阅读 2013-12-22 11:17:57
    一、 信息安全管理体系标准业务介绍 1、 背景介绍  信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、...

空空如也

空空如也

1 2 3 4 5 ... 13
收藏数 243
精华内容 97
关键字:

27001信息安全管理体系