ISO27001信息安全管理(lǐ)體系認證

ISO/IEC17799-2000包含了(le)127個安全控制措施來(lái)幫助組織識别在運做過程中對(duì)信息安全有影響的元素，組織可以根據适用(yòng)的法律法規和(hé)章程加以選擇和(hé)使用(yòng)，或者增加其他(tā)附加控制。國際标準化組織(ISO)在2005年對(duì)ISO 17799進行了(le)修訂，修訂後的标準作(zuò)爲ISO 27000标準族的第一部分--ISO/IEC 27001，新标準去掉9點控制措施，新增17點控制措施，并重組部分控制措施而新增一章，重組部分控制措施，關聯性邏輯性更好(hǎo)，更适合應用(yòng);并修改了(le)部分控制措施措辭。修改後的标準包括11個章節:

1)安全策略。指定信息安全方針，爲信息安全提供管理(lǐ)指引和(hé)支持，并定期評審。

2)信息安全的組織。建立信息安全管理(lǐ)組織體系，在内部開(kāi)展和(hé)控制信息安全的實施。

3)資産管理(lǐ)。核查所有信息資産，做好(hǎo)信息分類，确保信息資産受到(dào)适當程度的保護。

4)人力資源安全。确保所有員工(gōng)，合同方和(hé)第三方了(le)解信息安全威脅和(hé)相關事(shì)宜以及各自(zì)的責任，義務，以減少人爲差錯，盜竊，欺詐或誤用(yòng)設施的風(fēng)險。

5)物理(lǐ)和(hé)環境安全。定義安全區(qū)域，防止對(duì)辦公場所和(hé)信息的未授權訪問，破壞和(hé)幹擾;保護設備的安全，防止信息資産的丢失，損壞或被盜，以及對(duì)企業業務的幹擾;同時(shí)，還要做好(hǎo)一般控制，防止信息和(hé)信息處理(lǐ)設施的損壞和(hé)被盜。

6)通信和(hé)操作(zuò)管理(lǐ)。制定操作(zuò)規程和(hé)職責，确保信息處理(lǐ)設施的正确和(hé)安全操作(zuò);建立系統規劃和(hé)驗收準則，将系統失效的風(fēng)險降到(dào)最低(dī);防範惡意代碼和(hé)移動代碼，保護軟件和(hé)信息的完整性;做好(hǎo)信息備份和(hé)網絡安全管理(lǐ)，确保信息在網絡中的安全，确保其支持性基礎設施得到(dào)保護;建立媒體處置和(hé)安全的規程，防止資産損壞和(hé)業務活動的中斷;防止信息和(hé)軟件在組織之間交換時(shí)丢失，修改或誤用(yòng)。

7)訪問控制。制定訪問控制策略，避免信息系統的非授權訪問，并讓用(yòng)戶了(le)解其職責和(hé)義務，包括網絡訪問控制，操作(zuò)系統訪問控制，應用(yòng)系統和(hé)信息訪問控制，監視(shì)系統訪問和(hé)使用(yòng)，定期檢測未授權的活動;當使用(yòng)移動辦公和(hé)遠程控制時(shí)，也(yě)要确保信息安全。

8)系統采集、開(kāi)發和(hé)維護。标示系統的安全要求，确保安全成爲信息系統的内置部分，控制應用(yòng)系統的安全，防止應用(yòng)系統中用(yòng)戶數據的丢失，被修改或誤用(yòng);通過加密手段保護信息的保密性，真實性和(hé)完整性;控制對(duì)系統文(wén)件的訪問，确保系統文(wén)檔，源程序代碼的安全;嚴格控制開(kāi)發和(hé)支持過程，維護應用(yòng)系統軟件和(hé)信息安全。

9)信息安全事(shì)故管理(lǐ)。報(bào)告信息安全事(shì)件和(hé)弱點，及時(shí)采取糾正措施，确保使用(yòng)持續有效的方法管理(lǐ)信息安全事(shì)故，并确保及時(shí)修複。

10)業務連續性管理(lǐ)。目的是爲減少業務活動的中斷，是關鍵業務過程免受主要故障或天災的影響，并确保及時(shí)恢複。

11)符合性。信息系統的設計(jì)，操作(zuò)，使用(yòng)過程和(hé)管理(lǐ)要符合法律法規的要求，符合組織安全方針和(hé)标準，還要控制系統審計(jì)，使信息審核過程的效力最大(dà)化，幹擾最小(xiǎo)化。

ISO27001的效益

1、通過定義、評估和(hé)控制風(fēng)險，确保經營的持續性和(hé)能(néng)力

2、減少由于合同違規行爲以及直接觸犯法律法規要求所造成的責任

3、通過遵守國際标準提高(gāo)企業競争能(néng)力，提升企業形象

4、明(míng)确定義所有組織的内部和(hé)外(wài)部的信息接口目标:謹防數據的誤用(yòng)和(hé)丢失

5、建立安全工(gōng)具使用(yòng)方針

6、謹防技術訣竅的丢失

7、在組織内部增強安全意識

8、可作(zuò)爲公共會(huì)計(jì)審計(jì)的證據