- 杭州贝安企业管理有限公司
- 13396513322
产品描述
杭州贝安专业提供ISO27000认证认证咨询热点: ISO体系认证优势: 协助企业* | 安全管理体系杭州贝安专业提供ISO9001﹨14001﹨18001,质量环境安全管理体系咨询,协助企业*认证
信息安全管理体系标准
1995年,英国贸工部根据英国国内企业对信息安全日益高涨的呼声,组织大企业的信息安全经理们,制定了世界上个信息安全管理体系标准ISO27000/BS7799-1:1995《信息安全管理实施规则》,作为工商业和大、中、小型组织实施信息安全管理的指南。由于该标准采用建议和指导方式编写,因而不宜作为认证标准使用。
1998年,为了适应第三方认证的需要,英国又制定了个信息安全管理体系认证标准-- ISO27000/BS7799-2:1998《信息安全管理体系规范》,作为对一个组织的或部分信息安全管理体系进行评审认证的依据标准。
1999年,鉴于计算机和信息处理技术,尤其是网络和通信领域应用的*发展,英国又对信息安全管理体系标准进行了修订。修订后的ISO27000/BS7799-1:1999和ISO27000/BS7799-2:1999分别取代了ISO27000/BS7799-1:1995和ISO27000/BS7799-2:1998。新修订的1999版标准进一步强调了组织在商务工作中所涉及的信息安全和信息安全责任。
ISO27000/BS7799-1:1999和ISO27000/BS7799-2:1999是一对配套标准,ISO27000/BS7799-1:1999为如何建立和实施符合ISO27000/BS7799-2:1999标准要求的信息安全管理体系提供了的应用建议。
令人鼓舞的是,2000年12月,ISO27000/BS7799-1:1999已经被ISO/IEC正式采纳成为国际标准 -- ISO/IEC 17799:2000《信息技术 — 信息安全管理实施规则》,另外,ISO27000/BS7799-2:1999也即将于2002年底被ISO/IEC作为蓝本修订后成为可用于认证的ISO/IEC的《信息安全管理体系规范》。
杭州贝安专业提供ISO27000认证认证咨询热点: ISO体系认证优势: 协助企业* | 安全管理体系杭州贝安专业提供ISO9001﹨14001﹨18001,质量环境安全管理体系咨询,协助企业*认证
建立HTP的步骤
(一)在充分理解组织业务目标、组织文件及信息安全的条件下,通过ISO13335的风险分析的方法,通过建立组织的信息安全基线(Security Baseline),可以对组织的安全的现状有一个清晰的了解,并可以为以后进行安全控制绩效分析提供一个评价基础。
1.理解组织业务与组织文化
充分了解组织业务是设计安全方案的前提,只有了解组织业务,才能发现并分析组织业务所处的风险环境,并在此基础上提出可能的安全**措施;只有了解组织业务,才可能定义出合理的安全投资规模和计划;只有了解组织业务,才能制定出合理的安全政策和制度。
对组织业务的了解,包括对其业务内容、性质、目标及其价值进行分析,在信息安全中,业务一般是以资产形式表现出来,它包括信息/数据、软/硬件、无形资产、人员及其能力等。安全风险管理理论认为,iso27000认证作用,对业务资产的适度保护对业务的成功至关重要。要实现对业务资产的有效保护,必须要对资产有很清晰的了解。
对组织文化及员工状况的了解有助于知道组织中员工的安全意识、心理状况和行为状况,为制定合理的安全政策打下基础。
2.评估用户组织风险环境
ISO/IEC TR 13335-1把风险的定义为特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害的潜在可能性。风险评估是对信息和信息处理设施的威胁、影响和薄弱点及三者发生的可能性评估,即利用适当的风险评估工具、包括定性与定量的方法,确定资产风险等级和**控制顺序。
通过风险评估,上图中位于“主要高商业风险”区域的风险对组织的安全水平有着显著的影响,是应主要加以控制的风险;位于“高可能性”和“高影响”区域的风险要根据组织的接受风险的能力,可适当加以控制;位于“低风险”区域的风险只要是处于组织可以接受的水平,一般可以忽略。
3.准备安全基线分析报告
通过对组织业务特征、组织文化、安全意识、人员状况及信息风险评估的综合分析,详细描述当前组织的信息安全状况,为进一步制定信息安全投资预算计划、信息安全**分析、人员组织计划、建立安全体系、制定安全政策、引入安全控制措施而提供基础数据、辅助管理层对信息安全管理的计划与实践做出正确决策。
友情链接