ISO27001認證內(nèi)容（二/二）7)訪問控制。制定訪問控制策略，避免信息系統(tǒng)的非授權(quán)訪問，并讓用戶了解其職責(zé)和義務(wù)，包括網(wǎng)絡(luò)訪問控制，操作系統(tǒng)訪問控制，應(yīng)用系統(tǒng)和信息訪問控制，監(jiān)視系統(tǒng)訪問和使用，定期檢測未授權(quán)的活動;當(dāng)使用移動辦公和遠程控制時，也要確保信息安全。 8)系統(tǒng)采集、開發(fā)和維護。標(biāo)示系統(tǒng)的安全要求，確保安全成為信息系統(tǒng)的內(nèi)置部分，控制應(yīng)用系統(tǒng)的安全，防止應(yīng)用系統(tǒng)中用戶數(shù)據(jù)的丟失，被修改或誤用;通過加密手段保護信息的保密性，真實性和完整性;控制對系統(tǒng)文件的訪問，確保系統(tǒng)文檔，源程序代碼的安全;嚴格控制開發(fā)和支持過程，維護應(yīng)用系統(tǒng)軟件和信息安全。 9)信息安全事故管理。報告信息安全事件和弱點，及時采取糾正措施，確保使用持續(xù)有效的方法管理信息安全事故，并確保及時修復(fù)。 10)業(yè)務(wù)連續(xù)性管理。目的是為減少業(yè)務(wù)活動的中斷，是關(guān)鍵業(yè)務(wù)過程免收主要故障或天災(zāi)的影響，并確保及時恢復(fù)。 11)符合性。信息系統(tǒng)的設(shè)計，操作，使用過程和管理要符合法律法規(guī)的要求，符合組織安全方針和標(biāo)準(zhǔn)，還要控制系統(tǒng)審計，使信息審核過程的效力發(fā)揮徹底，將干擾降到盡可能低ISO27001備份目標(biāo)：防止數(shù)據(jù)丟失。南京ISO27001標(biāo)準(zhǔn)

ISO27001信息安全管理體系-方針 高層管理者應(yīng)建立信息安全方針，以: a)與組織的宗旨相適用; b)包含信息安全目標(biāo)(見6.2)或為信息安全目標(biāo)提供框架; c)包含滿足適用的信息安全相關(guān)要求的承諾; d)包含信息安全管理體系持續(xù)改進的承諾。 信息安全方針應(yīng): e)文件化并保持可用性; f)在組織內(nèi)部進行傳達; g)適當(dāng)時提供給相關(guān)方。5.3組織角色、職責(zé)和權(quán)限 高層管理者應(yīng)確保分配并傳達了信息安全相關(guān)角色的職責(zé)和權(quán)限。 高層管理者應(yīng)分配下列職責(zé)和權(quán)限: a)確保信息安全管理體系符合本標(biāo)準(zhǔn)的要求; b)將信息安全管理體系的績效報告給高層管理者。 注:高層管理者可能還要分配在組織內(nèi)部報告信息安全管理體系績效的職責(zé)和權(quán)限。上海ISO27001證書ISO27001認證工作不是企業(yè)的信息安全部或某一個部門的責(zé)任，而是需要全公司所有部門的共同配合與參與。

ISO27001信息安全管理體系中，組織應(yīng)定義并應(yīng)用信息安全風(fēng)險處置過程，以:a)在考慮風(fēng)險評估結(jié)果的基礎(chǔ)上，選擇適合的信息安全風(fēng)險處置選項:b)確定實現(xiàn)已選的信息安全風(fēng)險處置選項所必需的所有控制;c)將613b)確定的控制與附錄A中的控制進行比較，并驗證沒有忽略必要的控制;d)制定一個適用性聲明，包含必要的控制[見613b)和c)]及其選擇的合理性說明(無論該控制是否已實現(xiàn))，以及對附錄A控制刪減的合理性說明;e制定正式的信息安全風(fēng)險處置計劃;f)對信息安全風(fēng)險處置計劃以及對信息安全殘余風(fēng)險的接受的批準(zhǔn)。組織應(yīng)保留有關(guān)信息安全風(fēng)險處置過程的文件化信息。

ISO27001信息安全管理體系中的PDCA模型 -Plan：建立ISMS 定義ISMS的范圍 定義ISMS 策略 定義系統(tǒng)的風(fēng)險評估途徑 識別風(fēng)險 評估風(fēng)險 識別并評價風(fēng)險處理措施 選擇用于風(fēng)險處理的控制目標(biāo)和控制 準(zhǔn)備適用性聲明(SoA) 取得管理層對殘留風(fēng)險的承認，并授權(quán)實施和操作ISMS DO：實施和運行ISMS 制定風(fēng)險處理計劃 實施風(fēng)險處理計劃 實施所選的控制措施以滿足控制目標(biāo) 實施培訓(xùn)和意識程序 管理操作 管理資源 實施能夠激發(fā)安全事件檢測和響應(yīng)的程序和控制 CHECK：監(jiān)控和評審ISMS 執(zhí)行監(jiān)視程序和控制 對ISMS的效力進行定期復(fù)審 復(fù)審殘留風(fēng)險和可接受風(fēng)險的水平 按照預(yù)定計劃進行內(nèi)部ISMS審計 定期對ISMS進行管理復(fù)審 記錄活動和事件可能對ISMS的效力或執(zhí)行力度造成影響 ACT：保持和改進ISMS 對ISMS實施可識別的改進 采取恰當(dāng)?shù)募m正和預(yù)防措施 與所有利益伙伴溝通 確保改進成果滿足其預(yù)期目標(biāo)所有通過認證且合法的ISO27001證書均可在認監(jiān)委CNCA的網(wǎng)站上進行查詢。

1950年W.EdwardsDeming提出ISO27001信息安全管理體系-PDCA流程，即計劃（Plan）－執(zhí)行（Do）－檢查（Check）－提升（Act）過程，意在說明業(yè)務(wù)流程應(yīng)當(dāng)是不斷改進的，該方法使得職能部門經(jīng)理可以識別出那些需要修正的環(huán)節(jié)并進行修正。這個流程以及流程的改進，都必須遵循這樣一個過程：先計劃，再執(zhí)行，而后對其運行結(jié)果進行評估，緊接著按照計劃的具體要求對該評估進行復(fù)查，而后尋找到任何與計劃不符的結(jié)果偏差（即潛在改進的可能性），向管理層提出如何運行的報告。ISO27001網(wǎng)絡(luò)安全管理目標(biāo)：確保網(wǎng)絡(luò)中信息的安全性并保護支持性信息處理設(shè)施。鎮(zhèn)江通訊業(yè)ISO27001認證過程

ISO27001是以信息資產(chǎn)及業(yè)務(wù)風(fēng)險管理為中心的管理體系。南京ISO27001標(biāo)準(zhǔn)

1、互聯(lián)網(wǎng)：I5027001能夠保障這類企業(yè)重要信息的保密性、完整性及可用性，通過一系列安全防范措施的具體落實，解決互聯(lián)網(wǎng)企業(yè)的在信息管理方面的后顧之憂。2、信息通訊：特別是一些大型的通信設(shè)備提供商，出于對于自身技術(shù)優(yōu)勢的保護心態(tài)，對信息安全更是非常重視。實施信息安全管理體系也就成了這些企業(yè)必然的選擇。3、電子商務(wù)：因交易平臺、支付平臺之類對個人信息調(diào)取使用頻繁，導(dǎo)致行業(yè)內(nèi)對隱私信息的安全儲存管理的要求日益嚴格，電子商務(wù)相關(guān)企業(yè)投入更多精力建設(shè)完善。4、生產(chǎn)制造：芯片、半導(dǎo)體制造產(chǎn)業(yè)及與生產(chǎn)行業(yè)緊密關(guān)聯(lián)的能源產(chǎn)業(yè)，對信息安全認證的看重越發(fā)明顯:不僅是國內(nèi)外客戶的安全要求，更來自對自身技術(shù)優(yōu)勢的高效保障。5、金融保險：將數(shù)字視為生命線，自然也要牢牢把握信息安全的風(fēng)險紅線。一直以來，金融和保險行業(yè)為保障業(yè)務(wù)運轉(zhuǎn)的可靠性和持續(xù)性，始終在尋求信息安全相關(guān)認證的驅(qū)動力。

南京ISO27001標(biāo)準(zhǔn)