发布时间：2019-01-11 14:02 分类：ISO认证资讯

内容摘要：深圳ISO27000国际认证的益处为什么要做ISO27001认证？做ISO27001认证的外因：一个公司发展到一定程度和规模的时候，公司自身的安全已经不是自己的问题了，你会涉及到社会层面、合作层面、业 ...

深圳ISO27000国际认证的益处

为什么要做ISO27001认证？做ISO27001认证的外因：一个公司发展到一定程度和规模的时候，公司自身的安全已经不是自己的问题了，你会涉及到社会层面、合作层面、业务发展层面。如：我们公司的发起做ISO27001的需求其实就不是来自安全部，是业务部门在推广业务的过程中遇到了阻力，因为客户的系统过了ISO27001他们会要求你与他对接的系统有一定的安全性，这个要求就表现为ISO27001。我们就业找工作很多时候是看能力，但是有时候证书就像一个门票，没有门票就无法上车，ISO27001就是一个公司的证书。还有重要因素《网络安全法》出台了，国家对安全的要求肯定是先从政府自身开始，然后慢慢到要求企业，与其等出事不如从现在开始做。

ISO27001信息安全管理体系总体方针政策文件需要包含如下内容：组织信息安全的定义、总体目标、范围等；组织信息安全的重要性（如何保障业务目标实现）；管理层承诺与支持；信息安全体系框架（如何实现组织信息安全）；对组织尤其重要的特殊方针、原则、标准及符合性要求简短说明，如：法律法规要求、业务持续性管理、教育与培训以及违反策略的后果等；信息安全管理组织架构、职责、安全管理方法等；引用的支撑策略或管理制度。

ISMS认证的适用范围：ISO/IEC27001标准适用于所有类型的组织（例如，商业企业、政府机构、非赢利组织）。ISO/IEC27001从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。任何组织，不论其规模大小，所属行业或地理位置如何，均可采纳ISO/IEC27001标准。该标准尤其适合对信息安全有较高要求的行业，例如金融、健康、公共事业及IT行业。ISO/IEC27001对于代表他方管理信息的组织（例如IT外包公司）也十分有效：它可用于使发包方有足够的信息确信其信息得到接包方的有效保护。

ISO27001信息安全管理体系风险评估的主要工作任务及内容（活动）1)问卷调查对ISMS范围内的相关人员进行问卷调查，了解组织人员的安全管理意识、组织面临的主要威胁情况以及发生的主要安全事件。2)现场访谈面对面访谈信息系统架构、部署以及安全弱点、管理及技术措施等。3)手工检测人工检查或测试系统的安全管理落实情况。4)安全扫描使用自动化工具进行网络、操作系统、数据库或应用系统扫描。5)渗透测试对网络、操作系统、数据库或应用系统实施渗透测试，可选。6)综合分析对问卷调查、现场访谈、手工检测、安全扫描收集的信息进行综合分析。7)撰写报告撰写差距分析报告和现状报告。

ISO27001信息安全管理体系建设项目的前期准备工作。包括四个工作任务，分别是：1)确定ISMS范围根据组织业务需要确定ISMS涵盖的范围，包括地理位置、部门或信息系统等。2)确定信息安全总体方针政策分析ISMS范围内的业务及系统安全需求，确定ISMS的总体方针政策。3)定义风险评估与管理方法确定风险评估模型，确定风险评估指标，定义风险评估及管理程序。4)项目准备制定实施计划、成立项目组、整理开发相关工具模板、召开启动会，进行项目背景知识培训等。

原标题：深圳ISO27000国际认证的益处

分享：http://www.cniso.cn/a_303.html