ISO/IEC 27001信息安全管理体系 

 

      北京经典智业认证咨询中心将国际先进的信息安全管理体系标准引入客户企业,辅助客户建立信息安全管理体系。借助扎实的ISO27001理论研究基础、丰富的咨询经验、可靠的服务管理体系、专业的咨询顾问和正规的服务资质,依据 BS7799/ISO27001 等国际标准,提供 ISMS 体系咨询和实施服务。从管理、技术、人员、过程的角度来计划、建立、实施、核查信息安全管理体系。保障组织的信息安全 “ 滴水不漏 ”,确保组织业务的持续运营、持续改善。维护企业的竞争优势增加客户、合作伙伴和相关人士对机构的信心、提升营运收入,并为机构带来更多商机。

1.按照标准信息安全管理办法,对企业涉及风险评估人员进行系统的培训

      通常企业都会通过聘请外部顾问以项目的形式,来进行自身信息安全管理体系的建设,能够最大程度发挥咨询顾问的经验,使企业不会在体系的建设过程中迷失方向,但是,在项目结束咨询顾问撤场后,企业内部体系推行人员却显得无所适从。

为了有效避免上述情况,中标联为企业人员提供培训服务,有效提高全体员工,特别是各级领导的信息安全意识和能力,包括:

1)      信息安全管理意识培训;

2)      风险分析评估方法培训; 

3)      信息安全管理体系文件编写培训;

4)      信息安全管理体系文件实施培训; 

注:根据客户的实际状况,对上述培训进行调整。

2. 建立科学合理的信息安全风险评估过程

      利用风险评估软件完成全部风险评估、选择适宜的控制目标与控制方式、确定控制方式、一键自动生成风险评估所需的全部资料和清单。

      风险管理是信息安全管理体系建立的基础。完整的风险管理包括资产识别、资产估值、风险分析、风险评价、风险处理和剩余风险评估等过程,这些过程需要处理大量的数据,而资产、资产属性、威胁、薄弱点、事件的影响、发生的可能性、控制措施等风险评估要素随着评估过程、沟通过程、监视和评审过程、重复的评估过程而不断变化,需要不断的重复的进行大量的数据处理,所以,单纯用手工的的方式很难准确、快速的完成风险管理过程,也不利于管理者对评估进度和评估质量的督促和监控,必须借助于风险评估和风险管理工具软件,以大幅度降低各部门参与风险评估人员的工作量,并随时掌握各部门的风险评估情况,提高工作效率、保证风险评估结果的及时、真实、可靠。

      而且,采用风险评估软件进行风险评估,评估的数据保管在服务器上,能够避免评估资料被咨询公司人员或内部人员泄露。风险评估是一把双刃剑,组织可以通过风险评估,发现风险,进而控制风险。但是,风险评估结果本身对组织也是一项威胁,如果保管不当,被泄漏出去,则攻击者将全面了解组织的风险所在,可以发起有的放矢的攻击。因此,必须妥善保护风险评估的结果。传统的风险评估一般利用Excel表格来完成,非常容易被利用E-mail,U盘等媒体传递,造成风险。

3.嵌套体系文件信息平台,通过分级授权、信息加密技术,有效控制企业的信息安全

      企业各类管理文件的信息安全管理是企业所面临的一项极为重要的工作。“体系文件信息平台”可以按照公司文件的重要度和保密性可进行分级授权,可以对不同的登录账号授权,也可针对单独的某些文件授权。系统限制非法下载打印;如内部需要学习下载打印的文件,系统可自动增加带由公司标志的水印。

      另外系统可定期自动备份;可随时在线监控并记录所有在线进行文件操作的所有账户,对异常情况随时处理。上述功能可有利的确保公司各类管理文件的信息安全。

4.北京经典智业认证咨询中心严格按照企业定制的咨询流程对企业进行信息安全管理体系的认证服务

1)将国际先进的信息安全管理体系标准引入企业,辅助客户建立信息安全体系;

2)建立科学合理的信息安全风险评估过程,利用风险评估软件完成全部风险评估、自动生成风险评估所需的全部资料和清单; 

3)通过信息安全管理体系建立和运行,消除信息安全隐患,保护关键的信息资产; 

4)提高全体员工,特别是各级领导的信息安全意识和能力; 

5)提高客户企业的信息安全管理水平; 

6)按计划获得第三方认证机构颁发的ISO27001证书。

注:根据客户的具体要求,对上述目标进行调整; 

 

更新时间:

ISO/IEC 27001信息安全管理体系

2017年05月09日

来源:    点击数:734

本网站由阿里云提供云计算及安全服务 Powered by CloudDream