ISO27001认证咨询-信息安全管理体系简介.PDFVIP

ISO27001 信息安全管理体系简介 目录 前言 实施 ISO27001 效益 客户导入 ISO27001 心得体会 信息安全事故案例分析 我们的辅导方法 QA 前言 您现在可能很想知道 ISO27001 信息安全管理体系给您企业带来的哪些效益,ISO27001 到底在做些什么东 西？自己公司是不是适合做这个体系？ 许多人误以为信息安全是黑客与网络专家的事情，其实并不是这样，以下我会有案例来说明，信息技术只是 信息安全的一个手段与工具，并不是用钱买过来就安全了，企业的信息安全需要我们平时工作的时候要注意一些 细节，如工作机的数据平时要备份，公共文件夹的权限要设定清楚，文件柜要上锁，计算机屏幕要设定定时屏保 且用密码恢复，对于企业购买的防火墙，路由器的安全功能要正确的去???用执行，日后去管理。这些都是 ISO27001 信息安全管理体系标准所要求的安全事项，当然这只是标准的冰山一角，自己做过很多不安全的行为自己都没发 觉，标准是国外先进管理经验的积累，帮我们收集了所有的安全控制措施，按照这个标准去执行工作，能确保公 司信息资产（硬盘光盘电子数据，纸质数据）免受各种威胁（黑客，内贼，外部小偷，火灾，雷击等 ）。简单的 说,ISO27001 信息安全管理体系标准要求我们把公司的各项工作体系化运作，保护重要信息资产不受到各种威胁 而导致企业机密信息泄漏并被人利用，或者是受到环境及人为的破坏而不能继续使用,保持业务的持续运营是公 司的目标。 实施 ISO27001 效益 一 ISO27001 证书的获得，可以客户表明，组织/企业遵循了所有适用的法律法规。从而保护企业和 相关方的信息交换、知识产权、商业秘密等增加市场的竞争优势。 二 信息安全管理体系的建立可以和外部团体如合作伙伴及客户与内部团体如股东说明组织 /企业为 保护信息所做的努力，同是保护了客户以及企业自身的知识产权,使其对组织/企业的信心加强，并有助于在同行 业中的竞争优势，提升客户满意度及形象。 三 提升员工信息安全积极态度，规范信息安全制度，降低人为所造成的信息安全事故机率。 四 提升公司运营目标及达到业务永续经营要求目标。 五 满足组织/企业对信息安全的要求及期望。 客户导入 ISO27001 心得体会 我们公司刚刚通过了 ISO27001 的认证，在整个体系的实施过程中感受很多。我以前是做 IT 的，一直关心技术方 面，对体系方面的认识不足。公司以前也做过 ISO9000、CMMI，可是我一直抱着一种得过且过的抵触态度，所以 也没有从过程中学习到什么知识。这次通过准备 ISO27001，从文件体系，业务持续计划 BCP，资产识别、风险评 估等多方面对 ISO27001 信息安全管理体系有了一个比较清楚的认识，而且在试运行阶段通过实践，也对体系有 了更深刻的了解。 我想每一个做过 ISO27001 的人都会有很多收获和感想，希望大家共享一下，一来可以互相学习，二来对正在学 习体系的 DD 们也是一种帮助。 先来谈谈 HR 方面的管理，我们公司 HR 方面主要是入职、离职和部门异动，还有背景调查和保密协议方面。 HR 涉及的人员管理是一个关键，如果没有清晰的流程，那么后续的很多工作都不好开展。比如我们原来的域帐 户和邮件帐户、供员工工作的ＯＡ系统（可 web 方式登录）以及门禁系统权限的管理就比较混乱，因为人员的流 动没有及时的通知 IT 部门。所以很多很早就离职的员工还是保留了相应的权限，这对公司的信息安全就造成了 很大的威胁。 大家经常说三分技术，七分管理。我个人认为其实技术和管理同样重要，管理是以技术为基础的，不过由 于 ISO27001 是信息安全管理体系，很多做体系的人原来都是负责技术的，所以要加强管理方面的能力。 搞技术的人应该也意识到员工安全意识培训的重要性了，至少我是意识到了，呵呵。所以在这次 27001 的准 备过程中，还有一个重要内容就是全员的安全意识培训。我们是通过网站宣传，邮件宣传和 face