ISO27001体系建设指导_青岛ISO9001认证|山东ISO体系认证机构|食品认证|军工保密资质认定|海关AEO高级认证-山东世通国际认证有限公司【官方网站】
世通国际认证18年、3.6万家企业认证审核经验,整合认证服务!
世通招聘专区
400-675-8617
认证服务导航
当前位置:首页 > 新闻资讯 > 认证新闻动态 >

认证新闻动态

认证新闻动态
食品行业动态
军工资质服务动态
海关AEO认证动态
培训动态

【最新资讯】

  • 海关AEO精准培育 助企畅享通关
  • 改革百日青岛海关高级认证企
  • 世通认证4月份三体系内审员培
  • 军工单位推进保密精细化管理
  • 山东省市场监督管理局关于印
  • 海关AEO认证助力自行车企业更
  • 山东世通国际认证有限公司顺
  • 养老服务机构推行质量管理体
  • 关于世通国际认证“专精特新
  • 2021年中国高温合金行业市场现
  • 深度解读!2020年中国军工行业
  • 军工行业发展趋势六大热点问
  • 世通国际认证参加济宁市小微
  • 重磅利好来袭:海关AEO认证企
  • 海关AEO认证助力企业发展加速

    • ISO27001体系建设指导

    发布日期:2020-12-22 浏览次数:

           ISO27001作为信息安全管理领域的权威标准,经过多年的实践和优化改进,目前已是全球业界一致公认的辅助信息安全治理的手段和最佳指导。
           这是一个通用型的国际标准,在金融行业、制造业、航空运输、互联网行业等等各个领域都有良好的最佳实践成功案例。组织或企业或机构,都可以参考此标准构建符合组织自身环境和需求的信息安全管理体系。
    第一、ISO27001体系建设实施方法
    下图是ISO27001项目实施最佳方法论:

     
           项目的目标达成和预期收益,是项目核心关注点。上图示例的项目方法论,是一套全面、系统化的实施方法论。从策略、结构、流程、人员、技术五个维度,导入标准,实施优化和变革。之后,以运维变更管理为主轴,实现持续运营。
           我们都知道,信息安全不是一次标准导入、一次评估审计整改,就能达到预期目标和目的的。信息安全的建设,需要一个良好的运作机制,实现持续运营,持续改进,以推进信息安全治理不断达到新高度。
    第二、ISO27001管理体系的框架
           ISO组织于2013年9月26日,推出了最新的版本ISO/IEC27001:2013信息安全管理体系标准,其框架图如下:
           以上的框架,有详细的标准解读,这里不多做介绍了。标准的体系框架,几乎可以涵盖目前所有的组织管理领域,即使是互联网企业,仍然适用。只不过,部分域在某些组织或机构中,比较薄弱而已,例如:供应关系管理。
           当然,云计算时代,标准中的众多管理已经由云服务商实施落地了,这种情况,我们更多关注的是检查或审计云服务商的信息安全符合性。
    第三、ISO27001导入及认证步骤
           整体过程从战略确定,到现状评估和差异分析,再到体系设计与建立,之后实施体系运行发布,接着实行内部审核和改进,最后获取认证。需要特别说明一点的是,ISO27001信息安全管理体系认证,每年都需要进行审核,三年重新认证。
    下图为ISO27001认证步骤示例:
     
           以上参考的标准和监管要求,各个行业的要求各不相同。金融行业的监管要求就是非常丰富和严格,需进行解读匹配。在标准和要求冲突时,以监管要求、本地标准优先。如金融监管要求的优先级,要高于ISO标准要求;互联网行业注重敏捷、简洁、快速,需和ISO标准进行融合沟通,达成一致。
    第四、PDCA持续改进理论
           基于PDCA循环框架构建信息安全管理体系,通过规划、设计实施、监控审计、以及持续改进,保证体系运作的有效性和长效性,真正实现信息安全的持续改进和优化,从而保障组织的业务安全。
           这也是一套通用的信息安全PDCA循环方法论。无论互联网企业,还是传统的金融行业,都可以采用这种方式。
    总 结
           标准是固定不变的,但行业的最佳实践各有各的不同。因此,ISO27001体系建设,必须和组织自身情况相结合,不能为了标准符合而限制业务。