精华内容
下载资源
问答
  • 信息安全管理体系

    2015-05-11 15:14:08
    信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。
  • 信息安全管理体系.pdf

    2019-09-28 14:26:43
    CISP信息安全管理体系,介绍了信息安全管理体系基本理念并附上相关实例
  • 信息安全管理体系国家最新标准,适用于网络信息类企业进行体系认证的国家标准
  • 华为信息安全管理体系建设服务解决方案主打胶片 信息安全管理体系建设服务产品建议书 信息安全管理体系建设服务报价模板 信息安全管理体系建设服务交付指导 信息安全管理体系建设服务销售指导书 信息安全管理体系...
  • ISMS信息安全管理体系

    2011-10-20 17:21:46
    ISMS信息安全管理体系 ISMS信息安全管理体系 ISMS信息安全管理体系 ISMS信息安全管理体系
  • 信息安全管理体系ISMS考试题库,适合ISO27001审核员考试复习。
  • 用户信息安全管理体系建设需求分析、信息安全管理体系ISMS建设内容、信息安全管理体系建设流程、客户收益、成功案例等
  • 信息安全管理体系ISMS基本概念讲解,ISMS的前世今生,信息安全工作原则、深刻认识ISMS,27001运行框架、ISMS实施流程、管理体系的认可认证框架、等
  • 通过统计资料和实时信息分析,小编为大家推荐了这一款信息安全管理体系规范与使用指南,只为给你最全面、...该文档为信息安全管理体系规范与使用指南,是一份很不错的参考资料,具有较高参考价值,感兴趣的可以下载...
  • ISO27001信息安全管理体系

    万次阅读 2018-11-05 18:59:00
    初入甲方,刚开始接触的应该就是ISO27001信息安全管理体系,你拿到的应该就是一整套安全管理类的文档。在甲方,稍微有点规模的公司很注重制度和流程,岗位职责分工明细,那么这些安全管理制度,就是你所能掌控的...

    0x00 前言

      初入甲方,刚开始接触的应该就是ISO27001信息安全管理体系,你拿到的应该就是一整套安全管理类的文档。在甲方,稍微有点规模的公司很注重制度和流程,岗位职责分工明细,那么这些安全管理制度,就是你所能掌控的游戏规则,几个人的信息安全部生存之道。

    0x01 ISO27001简介

      ISO/IEC27001 信息安全管理体系(ISMS——information security management system)是信息安全管理的国际标准。最初源于英国标准BS7799,经过十年的不断改版,最终再2005年被国际标准化组织(ISO)转化为正式的国际标准,目前国际采用进一步更新的ISO/IEC27001:2013作为企业建立信息安全管理的最新要求。该标准可用于组织的信息安全管理建设和实施,通过管理体系保障组织全方面的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的信息安全管理。

    目前国际上普遍采用ISO/IEC27001:2013作为企业建立信息安全管理体系的最新要求,体系包括14个控制域、35个控制目标、114项控制措施。体系控制域内容如下:

      ISO/IEC27001 信息安全管理体系,即Information Security Management System,简称ISMS。概念最初源于英国标准BS7799,经过十年的不断改版,最终再2005年被国际标准化组织(ISO)转化为正式的国际标准,目前国际采用进一步更新的ISO/IEC27001:2013作为企业建立信息安全管理的最新要求。该标准可用于组织的信息安全管理建设和实施,通过管理体系保障组织全方面的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的信息安全管理。

    Plan规划:信息安全现状调研与诊断、定义ISMS的范围和方针、定义风险评估的系统性方针、资产识别与风险评估方法、评价风险处置的方法、明确控制目标并采取控制措施、输出合理的适用性声明(SOA);

    DO:实施控制的管理程序、实施所选择的控制措施、管理运行、资源提供、人员意识和能力培训;

    Check:执行监视和测量管理程序、实施检查措施并定期评价其有效性、评估残余风险和可接受风险的等级、ISMS内部审核、ISMS管理评审、记录并报告所有活动和事态事件;

    Act:测量ISMS业绩、收集相关的改进建议并处置、采取适当的纠正和预防措施、保持并改进ISMS确保持续运行。

    0x02 企业需求与认证收益

    企业的需求:

    符合政府法律法规及相关部门审核标准

    实现公司可持续发展

    进一步树立和完善企业内部信息安全管理

    加强客户信息安全保护

    提升客户管理服务满意度

    认证的收益:

    提升客户对于公司产品和服务信任度和满意度

    展示公司服务的安全性,极大提升行业竞争力

    与国际信息安全标准接轨,树立行业标杆,有利于在世界范围内开展与其他企业的合作与交流

    显著提高企业内部的IT信息安全管理规范,改善员工对于信息安全服务及IT管理认知

    提升自身品牌形象,进一步贴近客户需求,为客户提供优质可靠的IT服务

    0x03 ISO27001认证

    ISO27001作为信息安全管理标准,为信息安全管理体系(ISMS)的建立、实施、运行、监视、评审、保持和持续改进提供了模型和必要的控制目标和措施,是ISMS顺利实施的最佳指南。

    一般企业建立实施至少需要3个月时间,进度如下:

    没有经历过文档编写、内审、外审,未免有点遗憾,抱着对ISO27001体系建设的好奇,在先知找到了两篇文章,分享了作者在ISO27001体系建设从无到有的过程。

    从无到有通过ISO27001认证-建设篇

    https://xz.aliyun.com/t/106

    从无到有通过ISO27001认证-审核篇

    https://xz.aliyun.com/t/104

    0x04 END

      ISO27001是信息安全领域的管理体系标准,使用范围广,它面向的对象是组织,通过了ISO27001的认证,表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。企业将以此为起点持续改进和深化体系的执行,在公司软件资产受控的前提下持续为客户提供安全可靠的软件产品和服务。

    在学习,也一直在路上,加油!

    本文由Bypass整理总结,部分词条摘自网络。

    最后

    欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。 

     

    参考链接:

    http://www.byiso.com.cn/category/view?id=20

    https://www.bsigroup.com/zh-CN/iso-27001-information-security/

    https://mp.weixin.qq.com/s/bPvLO4vgPcsMZaHDPXLGqg

    http://www.renzhunta.com/iso27001/detail.jhtml

    展开全文
  • 信息安全管理体系建设相关文档,包括:手册、程序文件、作业指导书等
  • iso27001信息安全管理体系的讲义,分14个区块进行辅导
  • 信息安全管理体系要求和实用规则2016 包含 GBT22080-2016-27001信息安全管理体系要求 GBT22081-2016-27002信息安全管理实用规则
  • 信息安全管理体系的构建.pdf
  • ISO27001-2013信息安全管理体系要求
  • 信息安全架构体系,组织应根据整体业务活动及其面临的风险,建立、实施、运作、监视、评审、 保持并改进文件化的信息安全管理体系。本标准应用了图1所示的PDCA模式。
  • ISO/IEC 27001 信息安全管理体系要求信息安全管理体系要求
  • 鉴于目前网络安全形势严峻,企业越来越认识到信息安全管理的重要性,谈到信息安全管理,务必要理解及掌握国际组织(ISO/IEC)颁发的ISO27001信息安全管理体系要求及相关标准,以及应用到组织的信息安全管理工作中去...
  • 还在四处寻找有关于面向电子政务的信息安全管理体系建设吗?整理发布的这一款面向电子政务的信...该文档为面向电子政务的信息安全管理体系建设,是一份很不错的参考资料,具有较高参考价值,感兴趣的可以下载看看
  • 信息安全管理体系简介 ISMS的目标是透过整体规划的信息安全解决方案,来确保企业所有信息系统和业务的安全,并保持正常运作。 ISMS利用风险分析管理工具,结合企业资产列表和威胁来源的调查分析及系统安全弱点评估...
  • GB∕T 28450-2012 信息安全技术 信息安全管理体系审核指南,很好的指导考试用书
  • 等级保护体系与ISO27001信息安全管理体系的区别和联系 1.等级保护体系与ISO27000信息安全管理体系对比 2.等级保护体系与ISO27000信息安全管理体系实施时存在的难点 3.等级保护体系与ISO27000信息安全管理体系相互...
  • 信息安全管理体系(ISMS)是针对任何类型的组织用于建立、实施、运行、监控、审核、维护和改进信息安全的一个政策、程序、指南以及相关资源的框架。ISMS已经成为被国际标准化组织认可的国际标准、ISO/ IEC27000系列...

    1、什么是体系

            体系是一个科学术语,体系,汉语词语,泛指一定范围内或同类的事物按照一定的秩序和内部联系组合而成的整体,是不同系统组成的系统。自然界的体系遵循自然的法则,而人类社会的体系则要复杂得多。影响这个体系的因素除人性的自然发展之外,还有人类社会对自身认识的发展。泛指一定范围内或同类的事物按照一定的秩序和内部联系组合而成的整体。

    2、什么是信息安全管理体系?(ISMS)

    eceb897d0fd6639f3e44044af36f5762_middle

            信息安全管理体系(ISMS)是针对任何类型的组织用于建立、实施、运行、监控、审核、维护和改进信息安全的一个政策、程序、指南以及相关资源的框架。ISMS已经成为被国际标准化组织认可的国际标准、ISO/ IEC27000系列标准定义了信息安全管理体系(ISMS)的要求,奠定了信息安全管理体系的认证基础。标准解释的了整体计划 – 执行 – 检查 – 行动(PDCA)的方法,并为其实施提供了详细的指导。
    ISO/IEC27001标准介绍定义了整个信息安全管理体系的范围和使用的词汇,并提供包括标准的出版物的目录。ISO/ IEC 27001对那些寻求独立ISMS认证的机构来说是一套正式的规范,ISO / IEC 27002包含一个组织用于应对信息安全风险被结构化的建议控制,ISO/ IEC2700X出版物为特定行业和情况管理信息安全提供指导。ISO/ IEC27002是由ISO/ IEC17799演变而来,ISO/ IEC17799是由英国标准BS7799演化而来,BS7799是信息安全管理方面的最佳实践。ISO27001新版标准在2013年底正式颁布。

    3、组成信息安全管理体系的一组要素

    为了有效地保护信息,需要建立信息安全管理的一些重要基础,并与组织中所有员工进行沟通,下表描述了信息安全管理的关键因素:

    信息安全管理的关键因素

     

     

    高级管理层的承诺与支持 在一个组织内实施信息安全必须得到高层管理人员的承诺与支持,得到高层管理人员的认同和承诺有两个作用:一是相应的安全方针政策、控制措施可以在组织的上上下下得到有效的贯彻;二是可以得到有效的资源保证,比如实施有效安全过程的必要的资金与人力资源的支持,及跨部门之间的协调问题都必须由高层管理人员来推动。
    信息安全政策与程序  安全政策
    信息安全政策从本质上来说是描述组织具有哪些重要信息资产,并说明这些信息资产如何被保护的一个计划,其目的就是对组织中成员阐明如何使用组织中的信息系统资源,如何处理敏感信息,如何采用安全技术产品,用户在使用信息时应当承担什么样的责任,详细描述对员工的安全意识与技能要求,列出被组织禁止的行为。
    信息安全政策通过为组织的每一个人提供基本的规则、指南、定义,从而在组织中建立一套信息资源保护标准,防止员工的不安全行为引入风险。信息安全政策是进一步制定控制规则、安全程序的必要基础。
    信息安全政策可以分为二层次,一个信息安全方针,另一个是具体的信息安全策略。
    所谓信息安全方针就是组织的信息安全委员会或管理当局制定的一个高层文件,用于指导组织如何对资产,包括敏感性信息进行管理、保护和分配的规则和指示。信息安全方针应当阐明管理层的承诺,提出组织管理信息安全的方法,并由管理层批准,采用适当的方法将方针传达给每一个员工。信息安全方针应当简明、扼要,便于理解,但至少应包括以下内容:
    • 信息安全的定义,总体目标、范围,安全对信息共享的重要性
    • 管理层意图、支持目标和信息安全原则的阐述。
    • 信息安全控制的简要说明,以及依从法律、法规要求对组织的重要性。
    • 信息安全管理的一般和具体责任定义,包括报告安全事故。
    具体的信息安全策略是在信息安全方针的框架内,根据风险评估的结果,在为保证控制措施的有效执行而制定的明确具体的信息安全实施规则。常用策略举例如下:
    • 人员审查策略
    • 清除桌面和清除屏幕策略
    • 电子邮件使用策略
    • 电子办公系统安全策略
    • 访问控制策略
    • 网络服务使用策略
    • 移动计算设施的安全策略
    • 远程工作策略
    • 使用密码控制技术策略
    安全政策应当目的明确、内容清楚,能广泛地被组织成员接受与遵守,而且要有足够的灵活性、适应性,能涵盖较大范围内的各种数据、活动和资源。建立了信息安全政策,就设置了组织的信息安全基础,可以使员工了解与自己相关的信息安全保护责任,强调信息系统安全对组织业务目标的实现、业务活动持续运营的重要性。
     安全程序
    程序是为进行某项活动所规定的途径或方法。程序可以形成文件,也可以不形成文件,为确保信息安全管理活动的有效性,信息安全管理体系程序通常要求形成文件。
    信息安全管理程序包括两部分:一是实施控制目标与控制方式的安全控制程序(例如信息处置与储存程序),另一部分是为覆盖信息安全管理体系的管理与运作的程序(例如:风险评估与管理程序)。程序文件应描述安全控制或管理的责任及相关活动,是信息安全政策的支持性文件,是有效实施信息安全政策、控制目标与控制方式的具体措施。
    程序文件的内容通常包括:活动的目的与范围(Why)、做什么(What)、谁来做(Who)、何时(When)、何地(Where)、如何做(How),应使用什么样的材料、设备和文件,如何对活动进行控制和记录,即人们常说的“5W1H”。
     组织  信息安全组织的首要任务就是要明确组织中信息资产的保护责任和完成特定的安全流程的责任。在信息安全政策中应当对进行信息安全角色与责任的分配提供总的指导,如果需要的话,要对特定的站点、服务和相关的安全流程提供更详细的指南。例如灾难性恢复和企业可持续性计划等。组织中每个物理资产、信息资产及安全流程的责任都应当清楚地定义出来。
     安全意识与教育 组织应当对所有员工及第三方相关用户经常性地进行信息安全教育与培训,对于新员工要在其访问信息和某项服务之前首先进行安全意识与教育培训。内容可以包括信息安全风险与控制、法律责任、业务相关控制、信息处理设施的使用等,以提高安全意识与安全防范技能,并促使遵守国家法律、法规与组织的安全政策与程序。

     

    采用的教育与培训方式可以如下:
     书面安全策略
     正式的信息安全培训
     员工签订协议遵守组织的安全政策与程序
     员工签订的业务保密协议
     利用各种媒体在公司内部宣传安全问题(定期刊物、公司主页、录音录像、在线培训等)
     安全规定的强制执行
     鼓励员工报告可疑事件
     阶段性审计

     监督与符合性审核  为在连续性的基础上评估组织安全程序与控制的有效性,IT审计师必须清楚地了解组织的各种监督活动。例如,为了获得组织遵守相关法律法规的情况,审计师必须对敏感信息的安全与隐私政策的执行进行尽职调查,特别在一些特殊行业,如:银行、金融机构及健康中心。组织一般通过建立安全政策与程序来建立安全基线(Baseline)来把风险控制在可接受的水平,审计师需要对组织成员遵守安全政策与程序的情况进行审核。审计师还要确认当生产状态中的信息资源发生变化时,组织要对安全基线作及时调整。
     应急处理与响应  计算机安全事件是指威胁计算机安全的有关活动,计算机安全事件可能会造成信息机密性的丧失、完整性的破坏、拒绝服务、对系统的非授权访问、对系统的滥用与损害等。典型的安全事件包括病毒攻击、内部人员以及外部组织的入侵等。

     

     

             

     

    展开全文
  • 华为信息安全管理体系建设服务主打胶片、销售指导书、交付指导书、产品说明书、产品建议书、报价模板、销售一指禅等全套文档。
  • ISO 27001信息安全管理体系,ISO17799/BS7799 信息安全管理体系简介
  • 信息安全管理体系-ISO27001认证
  • GB∕T 31496-2015 信息技术 安全技术 信息安全管理体系实施指南
  • 信息安全管理体系要求(2016版).zip
  • 系统性培训信息安全管理体系ISMS相关知识,以及ISMS实施流程

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 3,265
精华内容 1,306
关键字:

信息安全管理体系