ISO27001信息安全管理体系|ISO27001认证咨询|ISO27001审核要点
深圳市亿杰企业管理咨询有限公司***提供ISO27001认证、ISO27001咨询、深圳ISO27001认证、东莞ISO27001认证、东莞ISO27001咨询、惠州ISO27001认证、惠州ISO27001咨询、广州ISO27001认证、广州ISO27001咨询,提供***范围内ISO27001认证与咨询服务,为轨道交通提供一站方认证方案
咨询服务及认证实施 目录 一、ISO27001标准简介 二、ISO27001信息安全项目实施流程 三、ISO27001认证的价值 一、 ISO27000系列标准简介 ISO27000标准族介绍 27000~27009:I***S基本标准, 27010~27019:I***S标准族的解释性指南与文档 认证机构 认可要求 信息安全基本目标 信息安全通常强调所谓CIA三元组的目标,即保密性、完整性和可用性。CIA概念的阐述源自信息技术安全评估标准(InformationTechnology Security Evaluation Criteria,ITSEC),它也是信息安全的基本要素和安全建设所应遵循的基本原则。 2005与2013区别:正文 2005与2013区别:附录 信息安全管理咨询服务将根据***的不同需求为其量身定做适合自己的信息安全管理体系,帮助企业更好的加强自身信息安全管理水平,降低企业业务运作过程中的风险。并采用可信任的控制措施,提供行业解决方案,满足客户的不同需求。 根据ISO 27001,信息安全管理体系包括: 14 个控制域 35 个控制目标 114 个控制措施 业务连续性 管理 访问控制 系统获取 开发维护管理 通信安全 人力资源安全 合规性 *** 信息安全*** 物理环境 安全 信息安全 事件管理 信息 客户记录 个人记录 ***记录 安全策略 策略 程序、流程 工作指导书、操作说明、模板、检查表等 文档、记录 密码学 操作安全 供应商关系安全 管理 ISO27001信息安全管理体系 计 划 (PLAN) 实 施 (DO) 检 查 (CHECK) 改 进 (Act) 业务现状了解 信息资产识别 威胁 脆弱性 当前控制措施 风险评价 风 险 处 置 制定风险接受标准 制定I***S文档架构 策略 程序与流程 指导书、模板等 文档、记录等 1级 2级 3级 4级 可能性 严重性 持续改进机制 管理层评审 内部I***S审计 持续的风险评估 I***S体系度量与监控 体 系 运 行 符合性指标 效能指标 损失性指标 改 进 需 求 预防性措施 纠正性措施 风险评估 风险处置计划 识别不合格项 根源分析 记录与*** 识别潜在不合格项 制定预防措施 记录与*** 体系发布 项目方法将基于贵公司的业务现状、对信息安全的要求及建立信息安全策略和目标。在贵公司的整体业务风险框架内,依据ISO27001标准,以风险评估为基础,根据风险处置计划建立和实施信息安全管理体系(I***S)以管理信息安全风险。并通过建立相关监控体系评估I***S的有效性,***终将针对监测结果对信息安全管理体系进行持续改进。 ISO27001信息安全管理体系实施方法 项目实施采取的程序 项目可能用到的工具 访谈 文档审阅 调查问卷 现场检查 系统检查 技术扫描 信息安全风险评估工具 网络脆弱性评估 服务器端口扫描 资产识别工具 渗透测试 信息安全控制审计 序号 标准名称 1 ISO 27001 :2005信息安全管理体系要求 3 ISO 27002 -27005 信息安全管理 使用规则 实施指南 风险评估 4 ***行业信息安全等级保护规范 5 《信息系统安全等级保护基本要求》 6 《信息系统安全等级保护实施指南》 7 GB22080-2008-T 信息技术 安全技术 信息安全管理体系 要求 8 GB22081-2008-T 信息技术 安全技术 信息安全管理实用规则 9 G***174-2008 电子信息系统机房设计规范 10 GBT 20270-2006 信息安全技术 网络基础安全技术要求 11 GBT 21028-2007 信息安全技术 服务器安全技术要求 12 GBT 21052-2007 信息安全技术 信息系统物理安全技术要求 参考的相关标准 项目实施采取的程序和可能用到的工具 ISO27001信息安全管理体系实施方法(2) 项目启动和差异分析 项目启动会议,确定项目团队、建立项目组管理架构 信息安全管理现状的快速评估 信息安全管理体系差异分析 设计信息安全方针 设计信息安全管理***架构 信息安全管理培训 阶段项目总结会议 项目计划 差异分析报告 信息安全管理***架构 信息安全方针 阶段 主要任务 主要交付品 风险评估 资产收集及风险评估方法与标准 资产级别划分标准 技术弱点扫描报告 资产清单、威胁列表、脆弱性列表、风险列表 风险评估报告 制定资产识别标准
(包含保密级别划分) 资产收集及风险评估方法培训 信息资产收集 识别威胁、脆弱性、并安全漏洞扫描 评估风险,划分风险等级 阶段项目总结会议 体系设计与发布 风险容忍标准及风险处置计划 适用性声明 I***S制度和流程 I***
ISO27001信息安全管理体系|ISO27001认证咨询|ISO27001审核要点
深圳市亿杰企业管理咨询有限公司***提供ISO27001认证、ISO27001咨询、深圳ISO27001认证、东莞ISO27001认证、东莞ISO27001咨询、惠州ISO27001认证、惠州ISO27001咨询、广州ISO27001认证、广州ISO27001咨询,提供***范围内ISO27001认证与咨询服务,为轨道交通提供一站方认证方案
如有需要,欢迎您的来电咨询