信息安全管理認證是指導和控制組織的關于信息安全風險的相互協調活動,關于信息安全風險的指導和控 制活動通常包括制定信息安全方針、風險評估、控制目標與方式選擇、風險控制、安全保證等。而要對組織的信息的安全性進行高效、動態的管理就必須依據信息安 全管理模型和信息安全管理標準構建組織的信息安全管理體系。
現在對ISO27001信息安全管理體系(Information Security Management System, ISMS)還沒有一個明確的定義。在ISO27001中信息安全管理體系可以被理解為是組織管理體系的一部分,專門用于組織的信息資產風險管理,確保組織 的信息安全,包括為制定、實施、評審和保持信息安全方針所需要的組織機構、目標、職責、程序、過程和資源。信息安全管理體系中包含很多的“反饋環路”。這 些“反饋環路”可以對系統的安全性進行監測和控制,以此使組織的殘余風險最小化,確保組織滿足客戶和法律的要求。
一個有效的ISO27001信息安全管理體系具有如下功能:
1. 強化員工的信息安全意識,規范組織的信息安全行為。
2. 對組織的關鍵信息資產進行全面系統的保護,維持競爭優勢。
3. 使組織本著預防和系統持續發展的觀點處理意外事件和損失,在信息系統受到侵襲時,確保業務持續開展并將損失降到最低程度。
4. 使組織的生意伙伴和客戶對組織充滿信心。
5. 使組織定期地考慮新的威脅和脆弱點,并對系統進行更新和控制。
6. 促使管理層堅持貫徹信息安全保障體系。
總之,ISO27001信息安全管理體系提供了考慮安全、維持安全、改進安全所必需的工具,即管理安全的工具。
在認證領域內,立標顧問擁有的審核團隊,其中大多數審核員擁有多標準資質。這一龐大的多技能審核員隊伍意味著立標能夠同時在全國不同的地點處理多標準審核,加快合規保證過程,使您的項目無憂管理。
共有條評論 網友評論