如何建設ISO27001認證資訊保安管理體系

我們知道iso27001認證即資訊保安管理體系認證，它以其嚴格的審查標準和權威的認證體系，成為全球應用最廣泛與典型的資訊保安管理標準，主要是針對資訊保安中的系統漏洞、黑客入侵、病毒感染等內容進行保護。那麼該如何建設iso27001認證資訊保安管理體系?下面我們一起來了解一下。

iso27001認證體系建設分為四個階段：實施安全風險評估、規劃體系建設方案、建立資訊保安管理體系、體系執行及改進。也符合資訊保安管理迴圈pdca(plan-do-check-action)模型及iso27001要求，即有效地保護企業資訊系統的安全，確保資訊保安的持續發展。

1、確立範圍

首先是確立專案範圍，從機構層次及系統層次兩個維度進行範圍的劃分。從機構層次上，可以考慮內部機構：需要覆蓋公司的各個部門，其包括總部、事業部、製造本部、技術本部等;外部機構：

則包括公司資訊系統相連的外部機構，包括**商、中間業務合作夥伴、及其他合作夥伴等。

從系統層次上，可按照物理環境：即支撐資訊系統的場所、所處的周邊環境以及場所內保障計算機系統正常執行的設施。包括機房環境、門禁、監控等;網路系統：

構成資訊系統網路傳輸環境的線路介質，裝置和軟體;伺服器平台系統：支撐所有資訊系統的伺服器、網路裝置、客戶機及其作業系統、資料庫、中介軟體和web系統等軟體平台系統;應用系統：支撐業務、辦公和管理應用的應用系統;資料：

整個資訊系統中傳輸以及儲存的資料;安全管理：包括安全策略、規章制度、人員組織、開發安全、專案安全管理和系統管理人員在日常運維過程中的安全合規、安全審計等。

2、安全風險評估

企業資訊保安是指保障企業業務系統不被非法訪問、利用和篡改，為企業員工提供安全、可信的服務，保證資訊系統的可用性、完整性和保密性。

本次進行的安全評估，主要包括兩方面的內容：

(1)企業安全管理類的評估

通過企業的安全控制現狀調查、訪談、文件研讀和iso27001的最佳實踐比對，以及在行業的經驗上進行「差距分析」，檢查企業在安全控制層面上存在的弱點，從而為安全措施的選擇提供依據。

評估內容包括iso27001所涵蓋的與資訊保安管理體系相關的11個方面，包括資訊保安策略、安全組織、資產分類與控制、人員安全、物理和環境安全、通訊和操作管理、訪問控制、系統開發與維護、安全事件管理、業務連續性管理、符合性。

(2)企業安全技術類評估

基於資產安全等級的分類，通過對資訊裝置進行的安全掃瞄、安全裝置的配置，檢查分析現有網路裝置、伺服器系統、終端、網路安全架構的安全現狀和存在的弱點，為安全加固提供依據。

針對企業具有代表性的關鍵應用進行安全評估。關鍵應用的評估方式採用滲透測試的方法，在應用評估中將對應用系統的威脅、弱點進行識別，分析其和應用系統的安全目標之間的差距，為後期改造提供依據。

提到安全評估，一定要有方**。我們以iso27001為核心，並借鑑國際常用的幾種評估模型的優點，同時結合企業自身的特點，建立風險評估模型：

在風險評估模型中，主要包含資訊資產、弱點、威脅和風險四個要素。每個要素有各自的屬性，資訊資產的屬性是資產價值，弱點的屬性是弱點在現有控制措施的保護下，被威脅利用的可能性以及被威脅利用後對資產帶來影響的嚴重程度，威脅的屬性是威脅發生的可能性及其危害的嚴重程度，風險的屬性是風險級別的高低。風險評估採用定性的風險評估方法，通過分級別的方式進行賦值。

3、規劃體系建設方案

企業資訊保安問題根源分布在技術、人員和管理等多個層面，須統一規劃並建立企業資訊保安體系，並最終落實到管理措施和技術措施，才能確保資訊保安。

規劃體系建設方案是在風險評估的基礎上，對企業中存在的安全風險提出安全建議，增強系統的安全性和抗攻擊性。

在未來1-2年內通過資訊保安體系制的建立與實施，建立安全組織，技術上進行安全審計、內外網隔離的改造、安全產品的部署，實現以流程為導向的轉型。在未來的 3-5 年內，通過完善的資訊保安體系和相應的物理環境改造和業務連續性專案的建設，將企業建設成為乙個注重管理，預防為主，防治結合的先進型企業。

4、企業資訊保安體系建設

企業資訊保安體系建立在資訊保安模型與企業資訊化的基礎上，建立資訊保安管理體系核心可以更好的發揮六方面的能力：即預警(warn)、保護(protect)、檢測(detect)、反應(response)、恢復(recover)和反擊(counter-attack)，體系應該兼顧攘外和安內的功能。

安全體系的建設一是涉及安全管理制度建設完善;二是涉及到資訊保安技術。首先，針對安全管理制度涉及的主要內容包括企業資訊系統的總體安全方針、安全技術策略和安全管理策略等。安全總體方針涉及安全組織機構、安全管理制度、人員安全管理、安全執行維護等方面的安全制度。

安全技術策略涉及資訊域的劃分、業務應用的安全等級、安全保護思路、說以及進一步的統一管理、系統分級、網路互聯、容災備份、集中監控等方面的要求。

其次，資訊保安技術按其所在的資訊系統層次可劃分為物理安全技術、網路安全技術、系統安全技術、應用安全技術，以及安全基礎設施平台;同時按照安全技術所提供的功能又可劃分為預防保護類、檢測跟蹤類和響應恢復類三大類技術。

以上是華榮達小編的整理，如果你還想了解更多相關知識可以登入華榮達官網、登入其微信***、撥打官方**或者留下你的****都是可以的。

華榮達(深圳)諮詢管理****, 秉承「以誠為本、厚德篤行、打造中國誠信諮詢品牌」的經營理念。

擁有一批受過專業訓練並具有豐富實踐經驗的顧問師隊伍，顧問師全部受過專業的、系統的訓練, 而且均有良好的職業道德和敬業精神，多年企業管理實際操作經驗華榮達企業以誠信為本，不以短期利益為目的，真心實意為客戶服務，深得客戶的讚譽和信賴。

公司與國內外權威的第三方審核機構均有良好的合作：瑞士sgs、英國 intertek、法國 bv、美國 ul-str、德國 tuv、香港 elevate、中國cqc、上海noa等;可確保客戶順利通過審核，節約成本。

我們積極跟進各種驗廠的最新變化，與審核機構研討，了解審核的要點。經過多年的磨練，我們已掌握了符合中國國情且滿足驗廠要求的一整套行之有效的推行方法，可協助不同情況的廠家通過相關認證和驗廠。

出師表兩漢：諸葛亮

先帝創業未半而中道崩殂，今天下三分，益州疲弊，此誠危急存亡之秋也。然侍衛之臣不懈於內，忠志之士忘身於外者，蓋追先帝之殊遇，欲報之於陛下也。誠宜開張聖聽，以光先帝遺德，恢弘志士之氣，不宜妄自菲薄，引喻失義，以塞忠諫之路也。

宮中府中，俱為一體；陟罰臧否，不宜異同。若有作奸犯科及為忠善者，宜付有司論其刑賞，以昭陛下平明之理；不宜偏私，使內外異法也。

侍中、侍郎郭攸之、費禕、董允等，此皆良實，志慮忠純，是以先帝簡拔以遺陛下：愚以為宮中之事，事無大小，悉以諮之，然後施行，必能裨補闕漏，有所廣益。

將軍向寵，性行淑均，曉暢軍事，試用於昔日，先帝稱之曰「能」，是以眾議舉寵為督：愚以為營中之事，悉以諮之，必能使行陣和睦，優劣得所。

親賢臣，遠小人，此先漢所以興隆也；親小人，遠賢臣，此後漢所以傾頹也。先帝在時，每與臣論此事，未嘗不嘆息痛恨於桓、靈也。侍中、尚書、長史、參軍，此悉貞良死節之臣，願陛下親之、信之，則漢室之隆，可計日而待也。

臣本布衣，躬耕於南陽，苟全性命於亂世，不求聞達於諸侯。先帝不以臣卑鄙，猥自枉屈，三顧臣於草廬之中，諮臣以當世之事，由是感激，遂許先帝以驅馳。後值傾覆，受任於敗軍之際，奉命於危難之間，爾來二十有一年矣。

先帝知臣謹慎，故臨崩寄臣以大事也。受命以來，夙夜憂嘆，恐託付不效，以傷先帝之明；故五月渡瀘，深入不毛。今南方已定，兵甲已足，當獎率三軍，北定中原，庶竭駑鈍，攘除奸兇，興復漢室，還於舊都。

此臣所以報先帝而忠陛下之職分也。至於斟酌損益，進盡忠言，則攸之、禕、允之任也。

願陛下託臣以討賊興復之效，不效，則治臣之罪，以告先帝之靈。若無興德之言，則責攸之、禕、允等之慢，以彰其咎；陛下亦宜自謀，以諮諏善道，察納雅言，深追先帝遺詔。臣不勝受恩感激。

今當遠離，臨表涕零，不知所言。

如何建設ISO27001認證資訊保安管理體系

ISO27001系統變更管理程式

ISO27001資訊裝置維護管理程式

ISO27001資訊保安事故管理程式

如何建設ISO27001認證資訊保安管理體系

ISO27001系統變更管理程式

ISO27001資訊裝置維護管理程式

ISO27001資訊保安事故管理程式

相關推薦