正規ISO認證,國家認監委可查,一個月左右下證,包輔導包通過,不過退款 
ISO9001質量認證平臺
深圳iso認證全包式服務
輔導-認證-包過-低價
 李老師:15220227293

          0755-21033850

ISO9001 quality certification platform
在線客服
 工作時間
周一至周五 :8:30-17:30
周六至周日 :9:00-17:00
 聯系方式
QQ:1801949861
電話::15220227293
iso認證詳情

ISO27001體系如何落地?

發表時間:2021-08-16 08:43作者:電話15220227293

ISO27001體系如何落地?



  ISO27001體系如何落地?信息安全公告的內容可以包括行業在信息安全方面的新要求或指引的發布;企業內部信息安全相關要求的發布;近期信息安全相關新聞的以及發生的信息安全事件等信息。各行業許多企業都根據業務所需選擇不同的國際、國內標準搭建了信息安全管理體系(ISMS),無論是基于國際信息安全標準ISO27001,還是基于國家標準國家等級保護測評準則的要求,信息安全管理體系(ISMS)的建立并不是一蹴而就的。


270.png

ISO27001體系


在建立信息安全管理體系(ISMS)過程中企業會投入很多資源進行資產收集、風險評估、采取種種控制措施降低風險、且制定相關的管理制度規范以降低企業風險,提升員工信息安全意識,從而達到提升企業整體信息安全管理水平。但如何可以真正的將信息安全管理體系落到實處,而不僅僅停留在一年一到兩次的風險評估、突擊性的控制措施實施和一套看似完備的信息安全管理制度,這可能是許多信息安全管理體系管理者經常思考且關注的話題。就此話題,我想簡單總結一下在這方面的經驗,希望籍此能啟發您的更多靈感。


  通知公告


  通過信息安全相關公告通知發放的方式,在企業中滲透信息安全各方面的信息和知識,逐漸形成信息安全無處不在的工作氛圍,提升全員信息安全意識。信息安全公告的內容可以包括行業在信息安全方面的新要求或指引的發布;企業內部信息安全相關要求的發布;近期信息安全相關新聞的以及發生的信息安全事件等信息。信息安全公告的發布周期和發布形式可以根據企業自身情況而定,通過企業內部使用的公共信息發布平臺、電子郵件、電子期刊等形式均可。


  帳號管理


  建議企業對各類帳號進行嚴格管理,包括基本帳號(員工入職后默認都需開通的帳號,例如郵箱帳號,OA帳號,所在部門的公共文件夾等)、工作所需的各類應用系統帳號(通常根據崗位職責所需開通的帳號)、特殊權限的帳號(例如應用系統管理員的帳號,數據庫管理員的帳號,域管理員的帳號等),VPN等特殊應用的帳號。從管理角度,不同類別的帳號申請需要不同級別的管理人員授權,一方面企業需清晰識別各類賬號并定義申請流程和授權方式;同時也需要保留必要的申請記錄以便查證,及測量體系實施的有效性。從使用角度,需要加強對員工的培訓并制定必要的規范(例如不允許帳號共享,密碼定期修改等策略),以確保帳號不被濫用誤用,從而降低信息安全事件的發生。


  人員安全


  員工作為企業信息使用和傳遞的重要載體,員工變動可能會給企業的信息安全帶來很大影響。在員工發生變動,即員工入職、轉崗和離職幾個關鍵點進行控制,可大大降低其對企業信息安全的影響。因此在入職前,許多企業會對關鍵崗位的員工進行背景調查并形成記錄,簽訂保密協議等;發生內部職責變動時,要求員工填寫工作交接單,刪除其原有崗位賬號等措;離職時,要求員工填寫離職交接單,清理數據,歸還物品。同樣,在這些關鍵點,企業最好能制定明確的交接審批流程并妥善保留記錄。


  設備安全


  通常企業在資產管理方面相對完善,但對設備自身的信息安全管理相對弱很多,IT設備承載大量的企業信息數據,在維護過程中無論是對設備自身進行的更換、更新,還是對其承造的系統、應用和數據進行的配置調整、結構調整等變更均有可能對其中的信息數據造成不利影響,甚至有可能導致應用不能使用影響到企業的正常業務操作。因為對IT設備變更進行控制是至關重要的,在實施變更前,須根據變更的緊急程度和可能帶來的影響程度進行變更分類和風險評估,制定詳細的變更計劃并得到相應級別的授權;變更實施后須對變更結果進行記錄且進行回顧,以確保變更實施的成功和經驗總結,具體實施方法可參照ITIL或ISO20000 IT服務管理的最佳實踐和國際標準。


  軟件安全


  自主研發軟件的專利及外購軟件的許可證管理均已成為企業不得不重視的問題,一旦疏忽就有可能給企業帶來很大的經濟和名譽損失。通過信息安全管理體系的建設,許多企業要求軟件許可證也作為固定資產由專門部門管理,使用須進行登記,采購須申請,到期須提醒。人員變動、業務變動都有可能導致軟件的變更,因此對軟件許可證的管理并不是采購后進行登記一勞永逸的事情,在日常工作中需要保證一旦發生變化即更新許可證信息,且提前做好許可證過期的準備工作。


  數據安全


  數據對于企業是至關重要的,對其進行的安全管理措施更需加大力度。對存儲數據的移動介質要做到登記并限制使用人群;對于大批量的數據清楚需要經授權才可執行;同時數據備份須落實到位,從業務角度識別數據備份需求,清晰定義數據備份策略(包括備份方式頻率等),的;數據備份需要進行記錄,并定期進行恢復性測試保留記錄,從而降低數據損失的風險。


2021429


  物理安全


  大多數企業都設立了門衛、保安、前臺等崗位,通過信息安全管理體系的建立,也采用了訪客登記,應用門禁系統等措施,對于敏感區域(例如財務、機房、研發中心等)進行了隔離或更高權限的物理訪問控制。但訪客登記進入后是否可以到處參觀,是否有專人陪同并登記,進入和離開的時間是否進行了記錄,必要時是否提交參觀申請得到授權;員工門禁卡和鑰匙的領取是否進行了登記,敏感區的訪問是否提交了申請等這些方面均是物理安全的以保障的控制點。


  安全檢查


  安全檢查與年度或半年度的內審并不同,審核通常會基于行業要求、標準規定和內部規范進行能夠檢查,安全檢查目的是排查各方面的安全隱患,降低安全事件發生的風險,可以是隨機,也可是定期的。每次檢查結果可保存,可作為日后改進和信息安全管理體系(ISMS)有效性測量的依據。


  安全事件


  信息安全事件一旦發生,就須快速響應妥善處理,否則可能會給企業帶來更大損失。首先,企業須清晰定義什么是信息安全事件,使大家對信息安全事件形成相同的認識;第二,可根據信息安全事件的嚴重程度進行分級,定義不同級別的事件匯報途徑、升級時間和處理要求;且在整個公司公布相關要求,做到發生安全事件即報告記錄并快速響應處理。對于安全事件的管理可參照ITIL或ISO20000 IT服務管理的最佳實踐和國際標準的事件管理章節。


  安全培訓


  安全培訓也是一項應持續的長期活動,安全培訓可針對不同對象分成不同的培訓,可以定期組織面向管理層的信息安全標準、法律法規解讀的管理培訓;面向全員的信息安全意識普及性培訓;針對IT相關技術人員的信息安全技術知識的專業培訓;面向信息安全運維和管理人員提供的信息安全相關資質認證培訓(CISSP、CISP、ISO27001主任審核員等)。建議企業對培訓過程、結果進行記錄,可作為信息安全體系建設的記錄和有效性測量的依據。(谷安天下擁有數名專業資深的信息安全培訓講師和顧問,可為您提供定制化的各種信息安全培訓。)



信息安全自我評估和信息安全審計的內容?

文章錄入:華道眾合   文章來源:華道眾合   添加時間:2014-12-13

1.技術脆弱性、符合性管理

信息安全審計將確保對技術脆弱性的控制,減少利用公開的技術弱點導致的風險。從以下特定的領域考慮實施控制,包括:

1)公用服務器/開發用服務器的管理

2)認證/加密措施的有效性

3)測試環境與業務環境的分離狀況

4)禁止使用未經授權許可的設備

5)信息安全漏洞、弱口令

6)防病毒軟件的有效性


2.符合信息安全策略和標準

自我評估將確保各部門的管理狀況符合組織的信息安全策略及標準。如果評估發現了不符合項的情況,應采取以下措施:

1)確定不符合的原因

2)對糾正不符合項所需的處理措施進行評估

3)確定和實施適當的糾正措施

4)評審所采取的糾正措施


根據ISMS信息的保密性、可用性、完整性等屬性,將組織的信息劃分為商密高、商密中和商密低三個級別。



15.png

會員登錄
登錄
其他帳號登錄:
留言
回到頂部