iso27001认证咨询模板
日期:3/17/2023 4:51:56 PM 点击:437
随着信息安全意识的提高,许多企业都开始有意识地落实信息安全管理体系,并通过认证来证明其严格的执行能力。这也使得许多企业寻求ISO27001认证咨询机构的服务。
ISO27001是ISO(国际标准化组织)下属的一项标准,其全称为《信息技术 安全技术 情报安全管理体系要求》(Information technology—Security techniques—Information security management systems—Requirements)。该标准的主要内容为:
一、定义文档;
二、通信;
三、业务运营安全;
四、安全策略;
五、安全目标与目标计划;
六、安全规划评估;
七、安全控制;
八、安全过程管理;
九、安全维护;
十、应急响应;
十一、恢复;
十二、安全基线;
十三、审计与监督;
十四、安全绩效评估;和
十五、组织环境管理。
ISO27001遵循一般质量管理体系(ISO 9001)的标准体系架构,与之类似,包括:
影响报告;
调查报告;
问题报告;
安全方案评估报告;
安全体系 Document;
安全体系信息;
安全体系术语;
信息安全事件;
风险审计报告;
安全基线报告;
安全过程评估报告;
管理层定期审计报告;
安全体系现状评估报告;
安全绩效分析报告;
安全相关绩效指标;
安全管理体系文件记录;
安全管理体系文件记录索引。
除此之外,ISO27001还要求企业建立与实施一套信息安全管理体系(ISMS),该体系包括:
一、安全策略(Security Policy):即明确企业的安全方针,明确各级管理人员的职责;
二、安全目标(Security Objective):包括安全战略与策略目标;
三、安全控制(Control):指企业信息安全管理过程中应用的各项措施;
四、安全流程(Security Process):即安全控制措施的具体过程;
五、安全文件(Security Document):为企业信息安全管理制定的各项文件;
六、安全信息(Security Information):包括企业的安全策略、安全控制措施、安全流程等方面的信息;
七、安全事件(Security Incident):指可能危害企业信息安全的各类事件;
八、审计与监督(Audit and Surveillance):包括内部审计和外部审计,是企业信息安全管理的重要环节;
九、安全基线(Security Baseline):即企业当前所能承受的信息安全风险水平;
十、应急响应(Emergency Response):当企业发生信息安全事件时采取的措施;
十一、恢复(Recovery):指发生信息安全事件后,采取的恢复措施; and
十二、安全相关绩效指标(Security Related Performance Indicators),即信息安全管理过程中被用来衡量企业绩效的指标。
上述内容表明,获得ISO27001认证需要企业建立与实施一套信息安全管理体系,并通过相关的文件记录来证明其落实
