BS认证过程介绍.pptVIP

中信国检信息技术有限公司 BS7799认证简析 什么是BS7799？ BS 7799是信息安全管理体系(ISMS)要求的标准。它可以帮助公司识别，管理和减少信息通常所面临的各种威胁。 BS7799标准的概述 BS7799标准是由英国标准协会（BSI）制定的信息安全管理标准，是目前国际上具有代表性的信息安全管理体系标准。 该标准强调以风险管理为基础的、全面的安全管理，目前该方法在世界范围内得到认可。 BS7799标准的概述 BS 7799的控制细则包括十个部分 安全方针　 安全组织 资产分类与管理　 人员安全　 实体和环境安全 通讯与运作管理　 访问控制　 系统的建立和维护　 商业活动连续性管理　 符合法律　 信息安全的重要性 信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。 然而，越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁，诸如计算机病毒、计算机入侵、DoS攻击等手段造成的信息灾难已变得更加普遍,有计划而不易被察觉。 组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏，公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。 许多信息系统本身就不是按照安全系统的要求来设计的，所以仅依靠技术手段来实现信息安全有其局限性，所以信息安全的实现必须得到管理和程序控制的适当支持。 按照先进的信息安全管理标准BS7799标准建立组织完整的信息安全管理体系（ISMS）并实施与保持，达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式，用最低的成本，达到可接受的信息安全水平，从根本上保证业务的连续性。 公司通过BS7799认证的意义 公司通过BS7799认证的意义 通过BS7799认证的主要受益包括： 加强公司管理安全性 塑造经营良好的公司形象 在公司内增强安全控制实务保障 建立可计量的机制来获得管理支持 为全球信息交流建立国际认可的平台 增强客户信心和满意度 管理和降低安全事件的影响 认证的过程 第一步：按照BS 7799-2:2002建立框架 第二步：认证机构评估费用和正式审核时间 第三步：向认证机构递交正式申请 第四步：预审。 第五步：正式审核。 第六步：持续审核。 第一步：按照BS 7799-2:2002建立框架 确定评估范围和边界 可行性分析，对公司资产进行风险评估 项目总体安排，成立项目组 培训（内审员，公司所有员工） 建立安全管理体系文档 建立内审机制 试运行三个月，整理连续实施的证据 第一步：按照BS 7799-2:2002建立框架 此部分为认证最重要的部分，须完全按照认证标准建立新的制度、流程。可聘请评审咨询公司来协助公司进行此阶段准备工作 国内可进行此项工作的知名咨询公司有启明星辰、IBM、安氏等 第二步：认证机构评估费用和正式审核时间 确定认证机构并进行商务谈判。 根据公司信息安全管理体系建立的进度确定正式审核的时间。 第三步：向认证机构递交正式申请 正式与认证机构签订认证合同 第四步：预审 在进行正式审核前，可以选择进行认证前预审，以评估公司现有的信息安全体系，确定公司是否已经做好接受认证的准备。 此次评审的结果不影响最终评审结果。 第五步：正式审核 此次评审分为审核、全面审核两个阶段 审核——认证机构对风险评估、政策、范围、适用性声明进行审核。 全面审核——认证机构将对已经投入使用的信息安全管理体系进行审核。 第六步：持续审核 如果能顺利完成审核，在确定清楚认证范围后，发放信息安全体系证书。在满足持续审核情况下，三年有效。 评审流程 认证的时间周期 认证最耗费时间的就是第一阶段，一般情况下开始建立公司信息安全管理体系需2个月，认证要求系统试运行2到3个月，因此此阶段至少需要4到5个月的时间。 第二步与第三步可并入第一步同步进行。 第四步，需有1个月的时间对预审后发现的问题进行修改与完善。 第五步，正式审核通过后需有1到2个月的时间可拿到正式的认证证书 综上所述，进行此认证通常需要6月左右的时间。 认证的费用 认证机构的费用 认证机构需根据公司认证的范围等具体情况确定工作量，一般需要8到10个人/天，收费标准为1200美金人/天，故此部分费用为12000美金。 咨询公司的费用 谢谢！ 2005年7月30日 中信国检信息技术有限公司