菁帆咨询,您身边的认证咨询顾问

 手机端
| 服务项目 | 公司简介| 联系我们
图片展示

联系我们

公司:四川菁帆企业管理咨询有限公司

地址:成都高新区观东一街666号5栋5单元5楼501号

手机:178-0816-1950(微信同号)

网址:www.jf9001.com

邮箱:jingfan9001@qq.com

Q Q:1220728554

20201218204355d47944.jpg

扫码,关注我们

 

ISO27001体系的建立

发表时间: 2021-03-25 15:54:08

作者: admin

浏览: 352

ISO27001信息安全管理体系,适用于各个行业,比如金融行业、互联网行业、航空运输业、制造业等等,经过多年的时间优化以及改进,目前已成为世界公认的企业建立信息安全的有效手段和指导方法。很多企业在准备导入ISO27001信息安全管理体系时,对于建立实施的方法不太明晰,以下整理了体系建设过程的方法,给大家参考

ISO27001信息安全管理体系,适用于各个行业,比如金融行业、互联网行业、航空运输业、制造业等等,经过多年的时间优化以及改进,目前已成为世界公认的企业建立信息安全的有效手段和指导方法。很多企业在准备导入ISO27001信息安全管理体系时,对于建立实施的方法不太明晰,以下整理了体系建设过程的方法,给大家参考

第一、ISO27001体系建设实施方法

下图是ISO27001项目实施最佳方法论:
image.png

项目的目标达成和预期收益,是项目核心关注点。上图示例的项目方法论,是一套全面、系统化的实施方法论。从策略、结构、流程、人员、技术五个维度,导入标准,实施优化和变革。之后,以运维变更管理为主轴,实现持续运营。

我们都知道,信息安全不是一次标准导入、一次评估审计整改,就能达到预期目标和目的的。信息安全的建设,需要一个良好的运作机制,实现持续运营,持续改进,以推进信息安全治理不断达到新高度。

第二、ISO27001管理体系的框架

ISO组织于2013926日,推出了最新的版本ISO/IEC27001:2013信息安全管理体系标准,其框架图如下:
image.png

以上的框架,有详细的标准解读,这里不多做介绍了。标准的体系框架,几乎可以涵盖目前所有的组织管理领域,即使是互联网企业,仍然适用。只不过,部分域在某些组织或机构中,比较薄弱而已,例如:供应关系管理。

当然,云计算时代,标准中的众多管理已经由云服务商实施落地了,这种情况,我们更多关注的是检查或审计云服务商的信息安全符合性。

第三、ISO27001导入及认证步骤

整体过程从战略确定,到现状评估和差异分析,再到体系设计与建立,之后实施体系运行发布,接着实行内部审核和改进,最后获取认证。需要特别说明一点的是,ISO27001信息安全管理体系认证,每年都需要进行审核,三年重新认证。

下图为ISO27001认证步骤示例:
image.png

以上参考的标准和监管要求,各个行业的要求各不相同。金融行业的监管要求就是非常丰富和严格,需进行解读匹配。在标准和要求冲突时,以监管要求、本地标准优先。如金融监管要求的优先级,要高于ISO标准要求;互联网行业注重敏捷、简洁、快速,需和ISO标准进行融合沟通,达成一致。

第四、PDCA持续改进理论

基于PDCA循环框架构建信息安全管理体系,通过规划、设计实施、监控审计、以及持续改进,保证体系运作的有效性和长效性,真正实现信息安全的持续改进和优化,从而保障组织的业务安全。
image.png

这也是一套通用的信息安全PDCA循环方法论。无论互联网企业,还是传统的金融行业,都可以采用这种方式。



说明:文章内容来源于网络。

ISO14001:2004转换ISO14001:2015
ISO14001:2004转换ISO14001:2015过渡期将在2018年9月15日结束,之后ISO14001:2004版将失效,全球范围内实施ISO14001:2015版标准
长按图片保存/分享

Copyright © 2018-2020 All Rights Reserved.

ICP备案号 :蜀ICP备2021007532号-1

 

    免费咨询电话

TEL:178-0816-1950

 

首页     |  公司概况   |  体系认证   |  产品认证   |  服务认证   |  认证知识   |  联系我们  


Copyright @   All Rights Reserved  ICP备案号 :蜀ICP备2021007532号-1 

 

主体

扫码关注我们

微信公众号

在线客服
联系方式
电话:
178-0816-1950(微信同号)
邮箱:
jingfan9001@qq.com
在线客服