没有合适的资源?快使用搜索试试~ 我知道了~
overview-of-iso-27000-family-SC
需积分: 3 0 下载量 177 浏览量
2022-11-08
10:41:16
上传
评论
收藏 1.62MB PDF 举报
温馨提示
试读
11页
overview_of_iso_27000_family_SC
资源推荐
资源详情
资源评论
信息安全管理体系
ISO/IEC 27000 标准系列概论
什 么 是 ISO/IEC 27001?
ISO/IEC 27001 标准的 名 称 为 《 信 息 技 术
— 安 全 技 术 — 信 息 安 全 管 理 体 系 —
要 求 》, 由 国 际 标 准 化 组 织 ( ISO) 及 国际
电 工 委 员 会 ( IEC ) 出 版 。 ISO/IEC
27001:2013(下称 ISO/IEC 27001) 为最
新版本的 ISO/IEC 27001 标准,修订了
2005 年 出 版 的 上 一 个 版 本 ( 即 ISO/IEC
27001:2005)。本 标 准 订明有 关 建 立 、推行、
维 护 和 持续改进 信息安全管理体系的各项
要 求 。信 息 安 全 管 理 体 系 阐 述 保护敏感信息
安全的系 统 化 方 式 ,通过应 用 风 险 管 理 流 程
管 理 人 事 、工序及信 息 技 术 系 统 。这 套 系统
不仅适用于大型机构,中小型企 业也会合
用 。
ISO/IEC 27001 可 以 与 相 关 支 援 控 制 措 施
配 合 使 用 , 例 如 载 列 于 ISO/IEC
27002:2013(下称 ISO/IEC 27002) 文件
的 控 制 措 施 。 ISO/IEC 27002 分为 14 节及
35 个 控 制 目 标 ,详述 114 项 安 全 控 制 措 施 。
有关 ISO/IEC 27001 及 ISO/IEC 27002 的
目录载于附 录 A。
机 构 是 否 遵 行 ISO/IEC 27001 标 准 所 定 的
要求,可 由 认 可 认 证 机 构 进 行 正 式 评 估 和 认
证 。 若 机 构 的 信 息 安 全 管 理 体 系 获 取
ISO/IEC 27001 标 准 的 认证,显 示 机 构 致 力
保护信 息 安 全 ,又 可 增 加 客 户 、合 伙 人 及持
份者的 信 心 。
ISO/IEC 27001 认 证 要 求
为 符合 ISO/IEC 27001 认 证 要 求 , 机 构 的
信息安全管理体系必须由国际认可的认证
机 构 进 行 审 计 。 ISO/IEC 27001 第 4 节至
10 节 所载的 要 求 ( 见 附 录 A) 是 强 制 性 要
求 ,并 没 有 豁 免 情况。若 机 构 的 信 息 安 全 管
理体系通 过 正 式 审 计 ,便会获认 证 机 构 颁 发
ISO/IEC 27001 证 书 。 证 书 的 有 效 期 为 三
年,期满后 ,机构需 要 重 新 为 其 信 息 安 全 管
理体系进行认 证 。
在 三 年 有 效 期 内 , 机 构 必 须 执 行 证 书 维 护 ,
以确保信息安全管理体系持续遵 行 有关要
求 ,按 规 定 运行和 不 断 改 进 。为 了 保 持 证书
有 效 ,认 证 机 构 会 每 年 至 少 一 次 就 信 息 安 全
管理体系进 行 实 地 视 察 , 以 进行监察审 计 。
在 审 计 过 程 中 ,认 证 机 构 只 会 对 部 分 信 息 安
全 管 理 体 系 作 出 审 计 。当 三 年 有 效 期 临 近 届
满 时 ,认 证 机 构 才 会 对 整 个 信 息 安 全 管 理 体
系 作 出 审 计 。
政府资讯科技总监办公室出版 二零二二年五月更新 1
信息安全管理体系
ISO/IEC 27000 标准系列概论
ISO/IEC 27001 认 证 的 效 益
机 构 获 取 ISO/IEC 27001 认 证 后 , 在内部
安全及 对 外 竞 争 力 方 面 , 均 会 受 惠 。
在 内 部 方 面 , 机 构 采用 ISO/IEC 27001 可
获 得 下 述 效 益 :
订 立 依 据 ,以 便 安 全 地 交 换 信息和 保 护
数据隐私, 尤 其 是 敏 感 信息;
管 理 和 减 低 风 险 承担,从 而 减 少 发 生 事
件 的 机 会 ,亦 相 应 减 少 用于安全事 件 应
变的时间及 金 钱 ;
加 强 内 部 组 织 架构和改进 业 务 的 安 全
性 结 构 ,如 明 确 界 定 有 关 信 息 安 全 的 职
责 及 职 务 ;
减 少 在 投 标 合 约 时 和 批 出 合 约 后 ,按客
户 的 要 求 分 别 用 于 整 理 和 提 交 与 安全
相关信息的 资 源 。
在 对 外 方 面 ,机 构 通 过 宣 传 已 获取 ISO/IEC
27001 认证,可 获 得 下 述 效 益 :
给予客户及 持 份 者 信 心 ,让 他 们 了 解 机
构 如 何 管 理 敏 感 信息的 风 险 及 安全事
宜 ;
有助遵 守 法律责任,如《 个 人 资 料( 私
隐 ) 条 例 》 ;
享有竞 争 优 势 ,以助吸 引 更 多 投 资 者 及
客户;
改 进 服务及 产 品 的 一 致 性 ,从 而 提 高 客
户 的 满 意 度 和 挽 留 客 户 ;
由于安全流程经 独 立 认 证 机 构 核 实 ,故
可 保护和 提 升 机 构 信 誉 ,从 而 提 高 对 机
构 、 资 产 、 股 东 及 董 事 的 保护;
充分准备好面对客户日益殷切的期望。
现时市民对 信 息 安 全 事 件 愈 趋 敏 感 ,一
个 认 可 国 际 标 准 认 证 或 会 渐 渐 成 为 客
户采用 服 务 的 先 决 条 件 。
认 证 机 构
ISO/IEC 27001 认 证 过 程 涉 及 由 认 证 机 构
给 予 的 认 可 。认 证 机 构 须 显 示 已 完 全 符 合 有
关 国 际 标 准 的 要 求 ,即 ISO/IEC 17021《合
格评定 — 管理体 系审核 认 证 机 构 的 要
求》及 ISO/IEC 27006《 信 息 安 全 管 理 体 系
审 核 认 证 机 构 的 要 求 》 , 才 获 授 予 认 可 。
2011 年 11 月 15 日 ,香 港 认 可 处 正 式 推出
ISO/IEC 27001 认 证 的 认 可 服 务 。认 证 机 构
可 联络香 港 认 可 处 ,并提出认 可 申 请 。有关
申请纯属 自 愿 性 质 。
认 证 费 用
首次认证费用包括推行信息安全管理体系
和 获取 ISO/IEC 27001 认 证 所 需 的 费 用 。
推行信 息 安 全 管 理 体 系 的 费 用 ,主要取 决 于
机构现有与所需的安全控制措施之间的差
距 。在 推 行 费 用 方 面 ,部 分 费用及 资 源 用 于
推行安 全 控 制 措 施 、编写文 档 、培 训 人员等。
获取认证的费用则 包括外聘审计人员费用
(每天按 一 定 比 例 收取的 费 用 ) 、 申 请 费 、
证书费、维护费 等 。
香 港 的 应 用 情 况
根 据 国 际 标 准 化 组 织 在 2020 年 进行的调
查,截至 2020 年 12 月 31 日 全球 137 个
国家及 经 济 体 系 有 效 的 ISO/IEC 27001 证
书 近 44 500 张。首 三 个 有效证书总数 最 多
的 国家及 经济体系 分别是 中 国 ( 12 400 多
张)、日本( 5 600 多 张)及 英国( 3 300
多 张 )。根据同 一 调 查 的 数据,香 港 的 有效
证书数目约 186 张 , 包括部 分 政 府 部 门 就
某 些 指 定 职 能 范 畴 取得的 ISO/IEC 27001
认证。
政府资讯科技总监办公室出版 二零二二年五月更新 2
信息安全管理体系
ISO/IEC 27000 标准系列概论
ISO/IEC 27001 的 推 行 情 况 和 认 证 过 程 概 要
• ISO/IEC 27001的推行情况
1
•制订信息安全方针
• 工作:确定业务目标并取得管理层的支持,以推行安全改进计划。
2
•界定信息安全管理体系范围
• 工作:比较现有的信息安全管理体系与ISO/IEC 27001的要求,同时选择信息安全管理体系将会涵
盖的业务单位、部门或系统。
3
•进行风险评估
• 工作:制订风险评估的方法,备存须予保护的信息资产清单,并按风险评估的风险分类排列资产。
4
•管理已确定的风险
• 工作:建立风险处理计划,为信息安全风险管理确立适当的管理工作、资源、职责及优先事项。
5
•选择将会推行的控制措施
• 工作:拟备适用性声明,记录适用于信息安全管理体系的控制措施(例如 ISO/IEC 27002中的114
项安全控制措施)及这些措施的推行方法。
6
•推行控制措施
• 工作:制定计划以推行已确定的控制措施。
• ISO/IEC 27001的认证
7
•准备认证
• 工作:操作信息安全管理体系,并进行包括内部审计、管理覆检和其它相关工作的整个流程。
8
•申请认证
• 工作:着手申请认证,其中包括在不同阶段的档案覆检及有关遵行要求的实地审计。
政府资讯科技总监办公室出版 二零二二年五月更新 3
剩余10页未读,继续阅读
资源评论
asdf050412
- 粉丝: 6
- 资源: 18
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- 测试aaaaaaabbbbb
- VID20240521070643.mp4
- Android系统原理与开发学习要点详解-培训课件.zip
- 部署yolov8的tensorrt模型支持检测分割姿态估计的C++源码+部署步骤.zip
- 以简单、易用、高性能为目标、开源的时序数据库,支持Linux及Windows, Time Series Database.zip
- python-leetcode面试题解之第198题打家劫舍-题解.zip
- python-leetcode面试题解之第191题位1的个数-题解.zip
- python-leetcode面试题解之第186题反转字符串中的单词II-题解.zip
- 一个基于python的web后端高性能开发框架,下载可用
- python-leetcode面试题解之第179题最大数-题解.zip
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功