iso27000运行模式_平顶山ISO27000认证流程

荆门ISO9001认证计 漳州IATF16949认证 宜昌ISO认证机构 海口JCI认证 襄阳ISO认证机构 海口ISO认证 
三亚ISO9000体系认证 芜湖IATF16949认证机构书 东莞ISO质量认证 遵义ISO认证 佛山QC080000认证 
湛江ISO13485认证硬件   呼和浩特ISO50001能源认证  乌鲁木齐ISO测量认证   沈阳GJB9001C认证 
  赣州**认证        兰州ISO000认证   珠海ISO20000认证  昆明ISO认证 文山ISO认证  贵阳ISO认证公司  
 大连ISO认证机构    重庆ISO认证公司   佛山ISO体系认证书    中山ISO认证机构    湛江ISO质量认证 
  厦门CMMI认证
ISO27001认证体系建设分为四个阶段：实施风险评估、规划体系建设方案、建立信息管理体系、体系运行及改进。也符合信息管理循环PDCA(Plan-Do-Check-Action)模型及ISO27001要求，即有效地保护企业信息系统的，确保信息的持续发展。本文结合作者经验，论述上述几个方面的内容。
1、确立范围
先是确立项目范围，从机构层次及系统层次两个维度进行范围的划分。从机构层次上，可以考虑内部机构：需要覆盖公司的各个部门，其包括总部、事业部、制造本部、技术本部等；外部机构：则包括公司信息系统相连的外部机构，包括供应商、中间业务合作伙伴、及其他合作伙伴等。
从系统层次上，可按照物理环境：即支撑信息系统的场所、所处的周边环境以及场所内**计算机系统正常运行的设施。包括机房环境、门禁、等；网络系统：构成信息系统网络传输环境的线路介质，设备和软件；服务器平台系统：支撑所有信息系统的服务器、网络设备、客户机及其操作系统、数据库、中间件和Web系统等软件平台系统；应用系统：支撑业务、办公和管理应用的应用系统；数据：整个信息系统中传输以及存储的数据；管理：包括策略、规章制度、人员组织、开发、项目管理和系统管理人员在日常运维过程中的合规、审计等。
2、风险评估
企业信息是指**企业业务系统不被非法访问、利用和篡改，为企业员工提供、可信的服务，保证信息系统的可用性、完整性和保密性。
ISO27000认证信息安全就是组织应明确需要保护的信息资源，确保信息的机密性、完整性和 可用性，并保持良好的协调状态。信息安全对企业经营非常重要，为了防止信息安全事故或事件的发生，尽管在技术方面采取了防火 墙和入侵监测系统，但是人为因素造成的信息机密流失仍然占有很高的比率（据说约70%）。因此，建立信息安全管理体系十分必要。
为了建立、实施和保持信息安全管理体系，先应策划信息安全管理体系的方针和目标，识别、分类和 清理信息资源，根据其危险程度、薄弱环节和发生频次，实施风险控制，包括回避、转移、控制和消除风险。按PDCA循环模式，建立 信息安全管理体系。建立信息安全管理体系共有8个阶段。包括确定ISMS适用范围、策划ISMS方针目标、策划风险控制的过程、识别和 评估风险、对风险控制现状分析、选择和制订管理方案、识别存在的风险和正式实施ISMS。
用于 ISMS认证的标准有ISO/IEC17799:2000和BS7799-2:1999。据说，到2003年8月15日止，按BS7799认证的企业全世界共有282家，其中中 国有5家。英国多，有99家。ISO/IEC JTC1/SC27正在对ISO/IEC17799:2000进行修订。预计2004或2005年正式发布修订版本。采用 ISO/IE　C17799建立ISMS，并取得认证的好处在于能够建立完善的信息安全管理体系，从管理角度防止信息系统出现安全事故或事件 ；对外树立信息系统可靠性形象，满足顾客要求，提高企业竞争能力。认证的范围适合于所有类型和规模的组织，特别是涉及个人信 息保护的组织，例如金融、通讯、、社区管理、电子商务和电子政务等。

深圳ISO27001认证, 东莞ISO27001认证咨询, 深圳ISO27001认证咨询。
1.信息安全基本方针的宗旨
我们的经营理念是“充分发挥每一位员工的个性和创造力，创造让 每位员工都能感受到自身价值的企业文化。在此基础上，我们以 的信息通信技术回报客户的信赖和期待。为实现便捷舒适的社会贡献自己的力量。”。信息通信技术的飞速发展给经营资源带 来的影响巨大，原来的“人力、物力、资金”再加上“信息”，这样的“信 息资产”是推进事业发展的重要资源。在这样的状况之下，冲通信系统株式会社为了从各种中保护好 “信息资产”，从而制定了信息安全基本方针。所有相关人员都必须在 理解本宗旨的基础上，遵守“信息安全基本方针”，按照“信息安全管理 系统（下文中简称 ISMS）”，致力于相关工作的保持和推进。
2.目的
所谓信息安全就是指对“信息资产”进行保护，持续确保其机密性、 完整性和可用性。而“信息资产”是指与本公司设计/开发/构筑的信息 通信系统以及软件相关的客户，关系企业以及本公司的电子数据,纸质数据,文书,技术信息,知识,软件,硬件,服务。这些都是本公司事 业持续发展的重要资产，是为了使客户的事业计划,开发计划相关信息以及借用信息,媒介物等为的“信息资产”更安全而致力的对象。
具体来说，把推进以下项目的确实实施和持续改善做为方针。 确立 ISMS，使“信息资产”更安全。有关机密性，落实只有具有访 问权限的人才能访问到信息。有关完整性，确保信息以及处理方法的正确以及完整。
有关可用性，落实只有具有访问权限的人，在必要的 情况下，才可以访问信息以及相关资产。持续对电脑病毒/蠕虫实施 对策。对从业人员以及合作公司的相关人员实施信息安全培训。
3.遵纪守法
遵纪守法 为了使“信息资产”更安全，遵守相关法律法规，公司规章制度以及 合约上签订的安全事项。
4.确立推进体制并及时调整
为了确立并推进信息安全工作，设立有信息安全运营会。委 员会对以此信息安全基本方针为基准的ISMS 相关的各项规定进行 制定，并定期进行管理评审，为充分发挥本公司 ISMS 的有效性进行 评价和
改版。
5.信息安全内部审查
通过信息安全内部审查，定期检查是否时常遵守信息安全基本方 针和 ISMS 手册。
6.风险评估的确立
风险评估的确立 为了确立本公司的 ISMS，有关风险评价基准进行明确，对评价的 组织结构进行确立，并持续进行更新。

ISO27000认证策划阶段，组织应：
定义ISMS的范围和方针；
定义风险评估的系统性方法；
识别风险；
应用组织确定的系统性方法评估风险；
识别并评估可选的风险处理方式；
选择控制目标与控制方式；
当决定接受剩余风险时应获得管理者同意，并获得管理者授权开始运行 信息安全管理体系。
ISO27000认证实施阶段，组织应该实施选择的控制，包括：
实施特定的管理程序；
实施所选择的控制；
运作管理；
实施能够促进安全事件检测和响应的程序和其他控制。

深圳ISO27001认证目标
深圳ISO27001认证组织使已识别的信息资产满足信息安全的各项要求，包括法律法规、客户与相关方和组织业务要求。具体目标包括：
1.信息泄露事件为零
2.引起组织主要业务中断时间累计不能**过2h/次
3.严重影响网络与信息系统可用性的事件小于1次/年
4.引起组织主要业务中断事件发生次数小雨1次/年
5.信息安全事件发生时，以损失小化、恢复时间短化、避免再次发生为目标
国际标准化组织，《ISO 17799国际标准》(版是2005) 　　ISO17799(根据BS 7799部分制定)作为确定控制范围的单一参考点，在大多数情况下，这些控制是使用业务信息系统所必须的。该标准适应任何规模的组织。它把信息作为一种资产，像其他重要商业资产一样，这种资产对组织有价值，因此需要恰当保护它。ISO 17799认为信息安全有下列特征:机密性，确保信息只被相应的授权用户访问;完整性，保护信息和处理信息程序的准确性和完整性;可用性，确保授权用户在需要时能够访问信息和相关资产。信息安全保护信息不受广泛威胁的损毁，确保业务连续性，将商业损失降至小，使投资收益并抓住各种商业机遇。安全是通过实施一套恰当的控制措施实现的。该控制措施由策略、实践、程序、组织结构和软件组成