胡律师:13306647218

数据安全如何做认证!ISO27001信息安全管理体系认证

时间:2021-07-14 13:24:09

随着信息化水平的不断提高,信息本身的价值越来越高,信息安全风险始终存在。同时,由于敏感信息泄露、非法网络劫持、核心系统宕机等信息安全事件,国家出台了《中华人民共和国网络安全法》、《互联网个人信息安全保护指南》、《加强工业互联网安全工作的指导意见》、《中华人民共和国密码法》、《电信和互联网行业提升网络数据安全保护能力专项行动方案》等意见和规定。这对企业实施信息安全管理提出了更高的要求。实施信息安全管理系统(ISO27001)并通过第三方认证变得越来越重要。

本文结束后,我们将简要介绍系统标准、标准实施的好处以及如何通过信息安全管理体系认证。

1、信息安全管理体系标准介绍

信息安全管理系统(ISMS)的概念源于英国标准协会制定的BS 7799-1: 1995 《信息安全管理实施细则》。2002年,英国标准学会发布了BS 7799-2: 2002《信息安全管理体系规范》。2005年10月,该规范通过ISO认证,正式成为国际标准并被广泛接受。这套标准是建立信息安全管理体系的一套要求规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,并指出了实施机构应遵循的风险评估标准。

现行的ISO27001:2013标准由国际标准化组织(ISO)于2013年10月19日正式颁布实施。

2、通过信息安全管理体系认证的收益

组织实施信息安全管理体系并通过ISO27001标准认证,意味着企业建立了科学有效的体系作为保障,这将为企业带来全面的价值提升,包括但不限于以下五个方面。36300.00000633606

提升企业品牌形象。实施信息安全管理体系并通过第三方认证机构相关认证的企业,可以向社会公众和外部客户展示自身的管理水平,可以向外界证明自身的管理能力符合相关信息安全标准和相关法律法规的要求,体现企业相比同行的竞争优势。

获得政府财政支持。为促进区域企业高质量发展,鼓励企业提升信息安全管理能力,各地对通过本地区第三方认证的企业有不同的财政补贴政策。

其他资格先决条件。目前IT行业常用的证书有很多,如业务连续性管理系统(ISO22301)、云服务信息安全管理系统、云隐私保护系统、隐私信息安全管理系统、个人身份信息保护管理系统等。申请这些证书时,

通过实施ISO27001,按照PDCA模式建立信息安全管理的自我约束机制,提高企业的信息安全管理能力,可以帮助企业识别信息安全风险,改进和规避信息安全风险,降低潜在的安全风险,减少潜在安全事件造成的损失,规范企业各部门、各岗位的职责,增强员工的信息安全意识,不断改进和有效防范,最终实现组织的良性发展。

满足市场准入要求。各种系统认证证书是IT行业招标的敲门砖,不同的证书在不同的招标对象中会有不同的分数。一些项目目标甚至明确要求ISO27001认证作为准入门槛。

3、如何通过ISO27001体系认证

以ISO/IEC27001标准为指导,结合信息安全体系认证的优秀实践,充分考虑国内企业信息安全管理现状,总结得出适合电子信息行业快速通过ISO27001认证的六大流程:

差距分析:从人员、环境、技术和管理四个方面对企业进行评估和调查,探索组织的信息安全需求,分析标准与标准之间的差距,明确系统实施的目标、范围和要点。

结合组织的信息安全目标和策略,33

培训导入:促进系统在企业内的运行,识别信息安全风险资产,在适当的时候进行有效的内部审查和管理审查,并保留系统有效运行的证据。

体系建立:向第三方认证机构申请信息安全管理体系认证,协助企业完成现场审核,纠正或纠正审核过程中产生的不符合项。

推广实施:计划系统年度审计计划和方案,按照PDCA原则,结合企业实际需求,持续改进和完善信息安全管理体系。

现场审核:

管理体系审核前,需要准备并提交完整的体系材料。通常我们把这些资料分为四个层次:管理手册、程序文件、系统策略、运行记录等等。各级文件对应的资料包括但不限于:

改进维持:

外审审核文件时,主要关注信息安全管理体系文件是否符合ISO27001标准,文件的适宜性和完整性是否符合要求。重要文件包括但不限于:法律地位证明、组织机构简介、组织机构图、人员说明、管理手册、程序文件、信息安全政策和目标、信息安全管理体系的规则和控制措施、SOA适用性声明、风险评估报告、剩余风险声明、风险处置计划、资产识别表、法律法规清单。

外审在现场审核时,主要关注组织信息安全管理体系的实施程度和有效性。除了重点关注各部门的信息安全资产识别和风险管理相关记录外,重点关注的系统运行记录如下:

行政人事部:

1.访客登记记录

2.人事保密协议

3.与信息安全和符合性评估相关的法律法规清单

4.相关培训计划和培训出勤记录

信息技术相关部门:

1.服务器管理(包括设备检查、测试日志记录和审查)

2.计算机机房管理等关键领域的进出口管理

3.各部门防病毒、屏保、密码定期监督检查表

4.公司软件使用列表和容量标签

5.重要数据备份记录

6.互联网安全检查

7.各类信息系统如电子邮件、OA权限和权限及时性管理记录

营销业务部门:

1.合同和订单

2.业务连续性数据(规划和验证)

3.未经授权的人员等进入区域限制可能会进入位置管理记录

R&D省:

1.产品技术数据(设计和开发数据,包括信息安全风险评估)

2.R&D人员保密协议

3.生产流程图

采购部门:

1.合格供应商名单

2.供应商问卷

3.供应商签署安全要求文件协议

4.供应商基本信息(如营业执照、ISO9001证书等。)

管理:

1.目标实现情况统计表

2.文件清单(手册、程序和操作说明)

3.文件发布记录

4.外部文档列表

5.全公司资产识别和风险管理总结

6.内部审计和管理审计过程的记录