對于ISO27001認證體系建設工作由計劃開(kāi)始。信息安全管理體系建設采用PDCA循環(huán)模型,分為四個(gè)階段:安全風(fēng)險評估、規劃體系建設方案(Plan),建立并實(shí)施信息安全管理體系(Do),體系運行績(jì)效考核(Check),持續改進(jìn)(Action)。
下面重點(diǎn)闡述企業(yè)在應對ISO27001認證時(shí)如何建設符合標準要求的信息安全管理體系,主要從幾個(gè)方面進(jìn)行:
1.首先是確立管理體系適用的范圍:需要覆蓋公司的各個(gè)職能部門(mén),也可以覆蓋公司信息系統相連的外部機構,如供應商、合作伙伴等。同時(shí)從系統層次考慮覆蓋網(wǎng)絡(luò )系統、服務(wù)器平臺系統、應用系統、數據、安全管理以及支撐信息系統的場(chǎng)所和所處的周邊環(huán)境及場(chǎng)所內保障計算機系統正常運行的設施設備等。
2.安全風(fēng)險評估:主要包括企業(yè)安全管理類(lèi)的評估和企業(yè)安全技術(shù)類(lèi)的評估。
安全管理類(lèi)評估的內容包括ISO27001信息安全管理體系相關(guān)的11個(gè)方面,包括信息安全策略、安全組織、資產(chǎn)分類(lèi)與控制、人員安全、物理和環(huán)境安全、通信和操作管理、訪(fǎng)問(wèn)控制、系統開(kāi)發(fā)與維護、安全事件管理、業(yè)務(wù)連續性管理、符合性。
安全技術(shù)類(lèi)評估是基于資產(chǎn)安全等級的分類(lèi),通過(guò)對信息設備進(jìn)行的安全掃描、安全設備的配置,檢查分析現有網(wǎng)絡(luò )設備、服務(wù)器系統、終端、網(wǎng)絡(luò )安全架構的安全現狀和存在的弱點(diǎn),為安全加固提供依據。
3.規劃體系建設方案:規劃體系建設方案是在風(fēng)險評估的基礎上,對企業(yè)中存在的安全風(fēng)險提出安全建議,增強系統的安全性和抗攻擊性。
4.信息安全體系的建設與運行:體系建設是在信息安全模型預企業(yè)信息化的基礎上建立的,體系應該兼顧內外安全的功能。規劃信息安全技術(shù)可以從安全基礎設施、網(wǎng)絡(luò )、系統、應用等四個(gè)方面進(jìn)行規劃。
5.改進(jìn):ISO27001認證標準的信息安全管理體系文件編制完成以后,按照文件控制的要求進(jìn)行審核批準,向各部門(mén)發(fā)放先行有效的體系文件,保留體系運行過(guò)程中的記錄,并定期進(jìn)行內審和管理評審,對不符合或潛在不符合項進(jìn)行糾正和預防措施,不斷改進(jìn)信息安全管理體系。
科泰集團(m.qiyeqqexmail.cn) 成立13年來(lái),致力于提供高新技術(shù)企業(yè)認定、名優(yōu)高新技術(shù)產(chǎn)品認定、省市工程技術(shù)研究中心認定、省市企業(yè)技術(shù)中心認定、省市工業(yè)設計中心認定、省市重點(diǎn)實(shí)驗室認定、專(zhuān)精特新中小企業(yè)、專(zhuān)精特新“小巨人”、專(zhuān)利軟著(zhù)申請、研發(fā)費用加計扣除、兩化融合貫標認證、科技型中小企業(yè)評價(jià)入庫、專(zhuān)利獎、科學(xué)技術(shù)獎、科技成果評價(jià)、科技成果轉化、ISO體系認證等服務(wù)。關(guān)注【科小泰】公眾號,及時(shí)獲取最新科技項目資訊!