信息安全风险管理是指通过建立有效的机制,实现对信息安全风险的识别、计量、评估、预警和控制,确保信息系统高效、可靠、安全、平稳、持续运行,规避因为信息技术应用而引起的各种风险。一般包括风险评估、风险处理、风险接受、风险通报、风险监控、风险回顾。 应用系统中的业务流程可能存在因流程控制缺陷而引起的操作风险。此类风险与信息技术应用的关系密切,并且极有可能因为自动化、网络化的实现方式而被放大,因此必须将其纳入全面信息安全风险管理的范围: 应用系统中业务流程操作风险本质上仍属于业务操作…
信息安全风险是指自然(环境)因素或者人为因素利用信息系统漏洞(技术漏洞)、管理(或流程)缺陷,对企业造成危害的潜在事件。包括信息系统的开发、部署、运行(使用)、监控、维护及退出等过程中由于IT操作流程缺陷、系统的业务流程控制缺陷、信息系统脆弱性、操作人员无意/蓄意失误、外部事件等因素直接影响信息系统的安全、可靠、平稳运行,并可能导致业务运营中断乃至欺诈事件等业务操作风险,并间接导致信用、市场、法律、声誉等企业。 信息系统开发时的业务需求分析风险、信息系统项目管理风险等等则不属…
企业内部面临信息安全问题的时候,目前虽然不是以前上某种安全产品就解决一切问题的那种一劳永逸的想法,但是大多数的企业都希望尽可能多解决一些问题,这种心情是可以理解的。 ISMS建设时,都会确定一个明确的实施范围,比如IT部或研发部或财务部,那么在实施ISMS的过程当中,范围之外的部门或组织一般都不会深入涉及,再次实施的重点明确在已定的范围之内,在咨询顾问的帮助下,建立合理的信息安全组织框架,培养出能够胜任安全管理体系运作的相关人员,比如掌握了风险评估方法的人员,内部审计人员等等…
ISO27001证书一般都是3年有效期,3年过后,必须历经一次全面审核,由认证公司重新颁发证书。在认证注册资格后,在三年有效期内,将接受乙方3次定期监督审核及必要的不定期审查。其中,获证之日起6个月安排首次监督审核,其后监督审核间隔不得超过12个月,有异常情况时酌情增加监督审核的频次。因此,企业必须仍然按照标准PDCA的要求,不断发现或回顾信息安全风险状况。
ISO27001认证实施不同咨询公司的做法也不一样,但是基本上会按照标准里的内容,从ISMS(信息安全管理体系)规划、ISMS实施与运维、ISMS监视与回顾、ISMS改进与提高四个阶段。
认证范围的选择将影响达到认证要求的难易度以及成本。反过来,难易度和成本是选择认证范围的重要参考。难易度一般由企业自身当前的信息安全管理水平决定,而成本则与企业的预算相关。在考虑难易度和成本的基础上,企业一般会把核心业务部门以及支撑核心业务的IT部门和人力资源部门纳入认证范围。认证范围的描述一般使用业务活动范围、地域场所、信息资产及技术来表达。到目前为止,像比较著名的认证机构比如BSI,DNV等在国内颁发的证书一般只使用业务活动和地域场所来描述认证的管理体系范围。
企业开展ISO27001认证时,一般都是由IT部门牵头,业务部门配合参入。但是对于规范较小的公司,IT部门的力量非常有限,往往是由质量管理部门牵头主导项目,因为这些公司一般都有实施过管理体系认证(ISO9001或者CMMI)或者项目的经验,信息安全管理体系同质量管理体系具有较大的相似性。 前期咨询公司的参入帮助引导主导部门甚至企业领导正确认识信息安全,信息安全管理以及ISO27001认证,就本项目对信息安全的理解和目标达成一致。这非常关键,因为这关系到项目实施过程顺利与否,以…
强化意识,转变观念 ISO27001认证是一个组织证明其信息安全水平和能力符合国际标准要求的有效手段,它将帮助组织节约信息安全成本; 信息安全风险管理的目的是保障企业业务赖以运行IT系统的持续、稳定、安全运行,保障企业业务的连续开展,而不是为企业业务的开展横加了一道枷锁,强调安全保障以业务为中心; 信息安全工作应该是以IT部门为主导,全员参与的全公司范围内的活动,强调人人有责; 信息安全管理应该遵循风险管理的思想,强调事先防范,事中控制以及事后总结的工作思路,而不是“问题驱动…
ISO27001是国际标准,全名是IEC/ISO27001信息安全管理体系规范,他是整个ISO27000标准系列当中的一个标准,该系列标准中包含很多其他标准;另外一个大家常说的标准ISO1779:2005-信息安全实施细则也是与信息安全管理相关的,这个标准当前已经改名为ISO27002:2008了。无论是ISO27001还是ISO27002,都是ISMS标准系列(ISMS Family of Standards)之一,ISMS标准系列如下图所示: 大家常说的ISO27001认…
ISO 20000认证可以帮助公司改进并简化IT流程,提高效率并确保向延伸的网络和终端客户提供可控的、连贯一致的内外部高质量服务。它体现出一个公司在维护可靠的IT架构,提高员工满意度和业绩,以及完善公司形象方面的承诺。 在竞标国际合同或拓展新业务时,ISO20000服务管理体系证书将能够证明您IT服务的高品质和可信赖。 ISO 20000将有助于您持续运行、监控和改进质量管理体系和过程;可以增强内部运作的可预见性以满足客户的需求;也可以显著改进您的整体绩效;同时您会注意到员工…
ISO20000 作为 IT 服务管理的国际标准,是从 IT 服务管理最佳实践 ITIL 中发展而来。 ISO20000 是 13 个管理流程,而 ITIL 是 10 个管理流程(不含服务台)。 ISO20000 新增了业务关系管理与供应商管理,对应于 ITIL 中的服务等级管理。 ISO20000 新增的服务报告,涵盖在 ITIL 的每个管理流程之中。 ITIL 提供最佳实践指南。 ISO/IEC20000 提供基于 ITSM 的度量。
ISO20000 与 ISO9000 的实用范畴不同: ISO20000 只针对 IT 服务管理,在 IT 服务提供商和政府及企业的 IT 部门应用较多;而 ISO9000 适用各行业的质量标准,在制造企业应用得最多。 ISO20000 与 ISO9000 的侧重点不同:ISO20000 与 IT 服务流程相关,其流程的名称和控制采用的 IT 人员容易接受的术语,对 IT 系统变更的风险进行管理;而 ISO9000与质量框架相联系。 ISO20000 关注的内容和 ISO90…
ISO 20000 是由英国标准 BS 15000 演变而来的,是全球认可的信息技术服务管理标准, 符合英国商务部(OGC)在 ITIL(IT 基础设施库)中定义的流程方法。ISO 20000 标准着重于通过“IT 服务标准化”来管理 IT 问题,即将 IT 问题归类,识别问题的内在联系,然后依据服务水准协议进行计划、推行和监控,并强调与客户的沟通。ISO 20000 的设计旨在使任何公司的内部或外包的 IT 基础设施保持一致,以使员工和客户受益。该标准基于 13个关键流程,…
ISO实施三个标准最大的不同点是其对象不同 ⑴组织按ISO 9001标准建立的质量管理体系,其对象是顾客。 ⑵组织按ISO 14001标准建立的环境管理体系,其对象是社会和相关方。 ⑶组织按OHSAS 18001标准建立的职业安全健康管理体系,其对象是员工。 ISO实施三个标准的相同点 ⑴组织实施管理的总方针和目标相同。 ⑵三项标准使用共同的过程模式结构,结构相似以方便使用。 ⑶体系的原理都是PDCA(计划-执行-检查-改进)循环。 ⑷都需要有文化的管理体系。 ⑸都明确要有文…
ISO 45001的构建是在OHSAS 18001已有的规范上,其主要目标是相同的,都是为提高组织的职业健康安全绩效。 ISO 45001.2与OHSAS 18001:2007的对应关系 条款号 ISO/DIS45001.2 职业健康安全管理体系要求及使用指南 条款号 OHSAS 18001:2007 职业健康安全管理体系要求 1 范围 1 范围 2 规范性引用文件 2 规范性引用文件 3 术语和定义 3 术语和定义 4 组织环境 4.1 理解组织及其环境 4.2 理解工作…
首先,根据调查,目前大约有45个国家利用OHSAS 18001标准架构管理其职安卫(职业健康管理、安全管理、卫生管理简称)系统。虽然应用范围很广,但并非全球通用,而转化成ISO标准,仅其会员就有近70个国家,使其应用范围得到仅一步扩大。同时,ISO标准是全球认可的标准,不仅使其应用范围进一步扩大,另外使其更具有权威性。 其次,ISO拥有国际性的专业知识。通过ISO成员组织,有近70个国家参与方或者观察员的方式参与到ISO 45001的发展中来。 第三,现在许多组织都在使用IS…
当组织建立了环境管理体系之后,通过管理活动程序、建立规范化文件和记录等措施可以协调不同的职能部门之间的关系,并可以达到下列目的: ①建立一个良好的环境方针和环境管理基础; ②有利于找出并控制重大的环境因素和影响; ③有利于识别有关的环境法规要求与现行状况的差距; ④减少由于污染事故或违反法律法规所造成的环境影响; ⑤建立组织内污染防止优先序列,并为实现污染预防目标而努力; ⑥可以提高监测环境的能力和评价该体系的效率,包括促进体系的改进和调整,以适应新的和不断变化的情况的要求;…
ISO/TC207在制定ISO14000时的指导思想之一是:“不增加并努力消除贸易壁垒,无论对环境好还是环境差的地区”。 客观上ISO14000系列标准统一了环境管理体系的基本要求,使那些以此制造贸易壁垒的国家有所收敛;标准要求各国公开其有关体系、产品标准和认证方法,为其贸易伙伴提供便利条件,有助于消除贸易壁垒。 另一方面,ISO14000系列标准的实施又是另一种壁垒,它对那些信息不通,行动缓慢的国家和组织将造成实际上的贸易障碍。各发达国家对ISO14000系列标准持臭味相投…
为了统一领导我国的ISO14000认证工作,国务院于1997年4月21日,国办函[1997]27号文件批准同意成立中国环境管理体系认证指导委员会(简称指委会),并于1997年5月27日召开了成立大会。指导委员会的成立樗着我国推行ISO14000系列标准工作又迈出了新的一步。 指导委员会由国家环境保护局局长担任主任,国家技术监督局副局长担任第一副主任,国家商检局、国家计委、经贸委的有关领导担任副主任。 委员会由33个部门和单位的代表组成。 指导委员会下设我国的环境管理体系认证机…
首先,两套标准都是ISO组织制订的针对管理方面的标准,都是国际贸易中消除贸易壁垒的有效手段。 其次,两套标准的要素有相同或相似之处。(见下表) 再次,两套标准最大的区别在于面向的对象不同,ISO9000标准是对顾客承诺,ISO14001标准是对政府、社会和众多相关方(包括股东、贷款方、保险等等)ISO9000标准缺乏有效的外部监督机制,而实施ISO14000标准的同时,就要接受政府、执法当局、社会公众和各相关方的监督。 最后,在体系中,两套标准部分内容和体系的思路上有着本质的…