信息安全管理体系咨询服务FAQ |
| 为什么要建立信息安全管理体系? |
组织自身业务的需要、法律法规的要求及信息系统使命的要求。
|
| 什么是信息安全管理体系? |
在信息安全方面指挥和控制组织的以实现信息安全目标的相互关联和相互作用的一组要素。
|
| 信息安全管理体系发展过程? |
| BS-7799是由英国标准协会(British Standards Institution,简称BSI)制定的信息安全管理体系标准。它包括两部分,其第一部分《信息安全管理实施规则》于2000年12月被国际化标准组织(ISO)纳入世界标准,编号为ISO/IEC 17799.BS7799广泛地涵盖了所有的信息安全议题,如安全方针的制定、安全责任的归属、风险的评估、定义与强化安全参数及访问控制,甚至包含防病毒的相关策略等。BS-7799已经成为国际公认的信息安全实施标准,适用于各种产业与组织。 |
| 开展信息安全管理体系咨询实施主体的特殊性? |
| 目前,国际上具有认证经验的权威认证机构如:BSI、DNV、BVQI等,均与上海测评中心保持着良好的业务交流与合作。良好的国际交流学习使上海测评中心不仅熟悉国际权威认证机构的审核特点,也使上海测评中心在众多国际管理标准(BS7799、BS8600、BS8800、TL9000)的掌握和理解方面走在全国的前列。当然,通过认证靠的是管理水平确实已经达到标准的要求。 |
| 建立信息安全管理体系依据的标准? |
ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系规范
ISO/IEC 17799:2005 信息技术-安全技术-信息安全管理实施细则 |
| 信息安全管理体系包括哪几个主要实施阶段? |
| 信息安全管理体系建立分为:第一阶段:项目启动及动员,第二阶段:调研及范围确定,第三阶段:信息安全风险评估,第四阶段:风险管理及编制ISMS体系文件,第五阶段:ISMS体系试运行,第六阶段:审核及认证。 |
信息安全管理体系建立的主要方法? |
信息安全管理体系建立的主要方法为PDCA模式。又称“戴明环”,PDCA循环是能使任何一项活动有效进行的工作程序:
P:计划,方针和目标的确定以及活动计划的制定;
D:执行,具体运作,实现计划中的内容;
C:检查,总结执行计划的结果,分清哪些对了,哪些错了,明确效果,找出问题;
A:改进(或处理),对总结检查的结果进行处理,成功的经验加以肯定,并予以标准化,或制定作业指导书,便于以后工作时遵循;对于失败的教训也要总结,以免重现。对于没有解决的问题,应提给下一个PDCA循环中去解决。 |
| 信息安全管理体系建立的结果形式是什么? |
组织应该建立并运行一套文件化的ISMS
确定组织需要保护的资产
确定风险管理的方法
确定风险控制的目标和控制措施
确定要达到的安全保证程度
通过第三方审核机构的认证。 |
| 信息安全管理体系建立的周期有多长? |
| 建立信息安全管理体系的周期一般为六个月。 |
|
