/Store/image/0/7637/76375903_1.jpg
ISO 27001标准体系建设与认证咨询
服务类型 :

分类 : 咨询服务

产品详情

ISO27001标准体系建设与认证咨询
ISO27001是国际权威的信息安全标准,其为各类组织建立并运行信息安全管理体系(ISMS)提供了最佳实践的指引。

ISO27000是一个标准族,主要有两个部分,第一部分是ISO/IEC 27001:2005(即国标GB/T22080),作为认证审核标准,其详细说明了建立、实施和维护ISMS的要求,可用来指导相关人员应用信息安全最佳实践以建立适合企业需要的ISMS。第二部分是ISO/IEC 27002:2007(即GB/T22081),作为信息安全管理实施细则即最佳实践,其将信息安全分为11个控制领域,定义了39项控制目标和133项安全控制。


ISO27001之所以被广泛用于企业信息安全管理体系建设,在于其几个突出的特点:1)整体性,即采用体系化思想进行信息安全建设,确保不会就事论事;2)全面性,十一个领域最佳实践,确保不会发生短板;3)层次性,从方针策略到操作规程,体现逐层落实原则;4)渐进性,建立PDCA机制,确保可持续发展。
以ISO27001标准为指引建立ISMS并通过认证,可以极大地促进企业信息安全以及信息化建设的健康全面发展,满足客户及合作伙伴的信任需求,也能很好地迎合法律法规及行业监管在内的各类合规要求。

领会标准精髓,把握企业特点,梵禅信息为此提供针对企业ISMS建设及ISO27001标准认证的专业咨询服务。


典型的ISO27001标准体系建设项目,通常经历四个大的阶段:现状调研和风险评估,体系设计和整体实现;体系发布和运行改进;认证审核和证书获取。具体包括以下活动:
 现状调研及差距分析:摸底调研,分析问题,比对ISO27001标准寻找差距;实施信息安全意识调研,了解员工想法。
 风险评估及风险处置:全面系统地梳理信息资产,确定其CIA属性;针对信息资产识别并评价威胁、弱点和风险;对不可接受风险,实施初步的风险处置决策。
 设立信息安全组织:建立层次化的信息安全管理组织,界定决策、管理与监督、执行等不同职能,明确包括信息安全管理委员会、安全主管、部门负责人和部门安全员各自的职责要求。
 构建信息安全管理文件体系:设计层次架构(4级),定义命名规则,梳理现有文件,从风险评估结果出发并结合合规及业务要求,责任落实到部门,建立全面的制度文件体系并发布。
体系推广与落实:风险处置计划需要落实,体系文件发布需要告知,梳理并明确运行记录要求,编制并发放员工手册,通过各种途径进行宣传推广,关键是要持续形成影响。
监督检查与评价:实施监督检查、有效度量、内部审核和管理评审,并做持续改进。
认证审核:进行认证准备,接受两阶段的认证审核,最终确保获得ISO27001证书。
对一般企业(集中工作场所,简单业务模式,规模并不庞大,管理相对简单)来说,从项目启动到最终审核,通常需要6个月时间:体系建设即前两个阶段需要3个月,运行认证即后两个阶段需要3个月。
对重点行业规模企业如银行、电力、通信等组织来说,从项目启动到最终审核,需要至少8个月时间:现状调研和风险评估2个月,体系设计和整体实现2个月,体系发布和运行改进3个月,认证审核和证书获得1个月。
实施ISO27001标准体系建设的企业,在项目准备阶段,应充分考虑自身特点,设计合理的进度计划.