首页
知识课程
企业应如何建立ISO/IEC 27001:2013标准?
企业应如何建立ISO/IEC 27001:2013标准?
发布时间:2019-10-26
来源:网络
浏览次数:1523
随着网络逐步的进入社会,越来越多的人接解到网络。网络的普及给人们的生活带来了极大的便利,但网络同时作一柄双刃剑,给社会用个人也带来了相当的威胁

随着网络逐步的进入社会,越来越多的人接解到网络。网络的普及给人们的生活带来了极大的便利,但网络同时作一柄双刃剑,给社会用个人也带来了相当的威胁。当信息被意外或刻意的传给恶意的接收者时,对个人或单位都会带来极大的伤害,如有的企业会因为信息的外泄而倒闭。在当今的信息时代,科技无疑为我们解决了很多问题。


国际标准组织(ISO)应此类需求,制定了ISO27001:2013标准,为如何建立、推行、维持及改善信息安全管理系统提供帮助。信息安全管理系统(ISMS)是高层管理人员用以监察及控制信息安全、减少商业风险和确保保安系统持续符合企业、客户及法律要求的一个体系。   


ISO/IEC 27001:2013能协助机构保护专利信息,同时也为制定统一的机构保安标准搭建了一个平台,更有助于提升安全管理的实务表现和增强机构间商业往来的信心与信任。


什么机构可采用 ISO/IEC 27001:2013 标准?

任何使用内部或外部电脑系统、拥有机密资料及/或依靠信息系统进行商业活动地机构,均可采用 ISO/IEC 27001:2013标准。简单的说,也就是那些需要处理信息、并认识到信息保护重要性的机构。


ISO/IEC 27001 的控制目标及措施

ISO/IEC27001制定的宗旨是确保机构信息的机密性、完整性及可用性,为达成上述宗旨,该标准共提出了39个控制目标及134项控制措施,推行ISO/IE 27001标准的机构可在其中选择适用于其业务的控制措施,同时也可增加其他的控制措施。而与ISO/IEC 27001相辅的ISO 17799:2011 标准是信息安全管理的实务守则,为如何推行控制措施提供指引。


ISO27001新版标准于2013年10月正式发布。国际标准组织和国际电工委员会根据新版国际标准架构、新的风险管理原则和指南以及信息技术的新发展对标准的正文和附录进行了大幅度修订,使得新旧版标准差异较大。


I. 计划

计划最重要的部分是设定涵盖的范畴及区域,它可以是:

覆盖整个组织并涉及多个地点的办事处及/或厂房

只涉及一个办事处或厂房

只涉及一个多元化服务供应商的其中一个业务计划的主要工作包括信息安全管理系统、风险评估、风险管理、风险处理措施和适用性报告。


信息安全管理系统是运营风险整体管理系统的其中一部分,目的是建立、实施、推行、检讨、维持及改善信息安全。


那么,机构在信息的机密性、完整性和可用性三方面的目标各是什么呢?什么程度的风险是可接受的?是否存在任何限制,如法律、法规或机构内部程序?信息安全政策应该是一份由行政总监签署认可的文件。控制措施应采取由上至下的推行方式。


风险评估根据需要保护的信息和可接受的风险程度来识别真正的风险,并就这些风险出现的可能性与其影响的严重性作出评估,从而辨别出机构需要管理的风险。识别出所有的保安措施,指出哪些对机构而言是适用或不适用的,并说明原因。必须针对风险评估的结果来选择控制措施。


II. 实施

选定了控制措施后,便需落实推行,同时也需制定程序以确保能够迅速察觉到事故的发生并作出回应,并确保所有员工都了解信息安全的重要性,且确保其接受了适当的培训,及有能力执行他们负责的保安任务。此外,还要妥善管理所需的资源。


III. 核查

核查的目的是确保控制措施都已推行,并能达到既定的目标。尽管有多种可行的核查方法,但只有内部审核与管理检讨是强制性的要求。


IV. 采取行动

最后便需对核查结果采取适当的行动,相关的行动可以是:

◆修正

◆预防

◆改善

◆总结


ISO/IEC 27001:2013标准为所有行业的机构都提供了一套业务工具,协助其避免信息保安的失误,从而降低了相应的风险。正式推行ISO/IEC27001:2013 并取得有关认证的机构将受益匪浅,以下列举其中数项:

◆由于按照国际标准实施适当的控制措施,机构便能自行将信息保安的失误率降至最低;

◆以系统化的方法计划及管理运营的持续性;

◆以系统化的方法处理符合法律的问题,从而减低所需承担的法律责任风险;

◆提升营运收入,并为机构带来更多商机;

◆增加客户、合作伙伴和相关人士对机构的信心。



其他文章
联系我们
020-38860656
134 3393 3194
九脑汇在线学院