在线留言 | 设为首页 | 加入收藏 
网站首页 关于我们 新闻资讯 服务项目 客户案例 人力资源 留言反馈 联系我们
联系我们
泰州人从众企业管理有限公司
地址:江苏省泰州市青年南路38号
电话:13338890682
手机:15061005776
联系人:陈先生
传真:0523-80691088
邮箱:888cyh@sina.com
 
ISO27000/ BS7799信息安全认证咨询 您现在的位置:首页 > 服务项目 > 体系认证 > ISO27001 认证
ISO27000/ BS7799信息安全认证咨询

标准的起源和发展

信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分:

BS7799-1,信息安全管理实施规则

BS7799-2,信息安全管理体系规范。

第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。

2000年,国际标准化组织(ISO)在BS7799-1的基础上制定通过了ISO 17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO 17799再次修订,BS7799-2也于2005年被采用为ISO27001:2005。

标准的主要内容

ISO/IEC17799-2000(BS7799-1)对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础,并为组织之间的交往提供信任。

标准指出“象其他重要业务资产一样,信息也是一种资产”。它对一个组织具有价值,因此需要加以合适地保护。信息安全防止信息受到的各种威胁,以确保业务连续性,使业务受到损害的风险减至最小,使投资回报和业务机会最大。

信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制,以确保满足该组织的特定安全目标。

ISO/IEC17799-2000包含了127个安全控制措施来帮助组织识别在运做过程中对信息安全有影响的元素,组织可以根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。国际标准化组织(ISO)在2005年对ISO 17799进行了修订,修订后的标准作为ISO 27000标准族的第一部分——ISO/IEC 27001,新标准去掉9点控制措施,新增17点控制措施,并重组部分控制措施而新增一章,重组部分控制措施,关联性逻辑性更好,更适合应用;并修改了部分控制措施措辞。修改后的标准包括11个章节:

1)安全策略

2)信息安全的组织

3)资产管理

4)人力资源安全

5)物理和环境安全

6)通信和操作管理

7)访问控制

8)系统系统采集、开发和维护

9)信息安全事故管理

10)业务连续性管理

11)符合性

 

何谓ISO17799(BS7799)?
   信息安全管理体系(ISMS-Information Security Management Systems)是组织整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、检查表等要素的集合。
  随着公司信息安全遭到破坏的报道越来越多,建立一个信息安全管理架构的迫切性日益增加。一个信息安全管理体系(ISMS)ISO17799----国际标准化组织版本的BS7799,将为您的公司提供一个启动、实施、维护和管理信息安全的架构。

ISO17799与BS7799的关系
  BS7799是英国标准化协会(BSI)开发的由两部分组成的信息安全管理标准,其中BS7799-1《信息安全管理实施细则》在2000年被国际标准化组织讨论通过成为ISO/IEC17799,ISO/IEC17799与BS7799-1:1999的内容基本一致,从内容上来说,当前可以把这两个标准作为一个标准来看。
  BS7799-2《信息安全管理体系规范》是建立、实施、维持信息安全管理体系并持续改进其有效性的标准,可以作为认证的依据。BS7799-2:2002引用了ISO/IEC17799:2000中的术语和定义,而且标准的附录A所列举的控制目标和控制方式全部直接来源于ISO/IEC17799:2000。
  单纯的ISO/IEC17799无法保证信息安全管理的系统性和充分性,不能用于认证。人们可以选择BS7799-2:2002与ISO/IEC17799:2000一起非正式使用,以完成信息安全管理体系认证。到目前为止,已知的正式认可的认证方案是根据BS7799-2:2002实施的,而不是根据ISO/IEC17799实施的。
  ISO/IEC17799是技术独立的,关注信息安全管理方面的内容。标准详细规定了充分适用于各类组织、不同应用程序、系统及技术平台的控制,并保证组织在标准化的过程中不损失任何利益。组织如果不寻求ISMS认证,可以根据自己的信息安全方面要求,独立的采用ISO/IEC17799,根据ISO/IEC17799设计自己的信息安全方针和管理程序,甚至建立自己的信息安全管理体系,这时候BS7799-2不是必需的。

BS7799与ISO17799的发展历程
  1、1993年,BS7799标准由英国贸工部立项;
  2、1995年,BS7799-1:1995《信息安全管理体系实施细则》首次出版;
  3、1998年,英国公布了BS7799-2:1998《信息安全管理体系规范》,可作为认证的依据;
  4、1999年,在BSI/DISC(British Standards Institutr/Delivering Information
 
    Solutions to Customers)指导下对BS7799这两部分进行了修订和扩展,BS7799-1:
    1999和BS7799-2:1999分别取代了BS7799-1:1995和BS7799-2:1998;
  5、2000年12月,BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO
    的认可,正式成为国际标准——ISO/IEC17799:2000《信息技术 信息安全管理损失细
    则》;
  6、2002年,为了与其它管理标准(如:ISO9001、ISO14001等)协调一致,以及引入并
    应用PDCA过程管理模式,以建立、实施组织的信息安全管理体系,并持续改进有效性,
    BSI对BS7799-2:1999进行了修订,于2002年9月5日发布了BS7799-2:2002。

ISO17799的特点
  1、安全方针
  2、安全组织
  3、资产分类和控制
  4、人员安全
  5、实体和环境安全
  6、沟通和运行管理
  7、存取控制
  8、体系开发和维护
  9、企业持续运营管理
  10、符合法规

ISO17799的效益
  1、通过定义、评估和控制风险,确保经营的持续性和能力
  2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任
  3、通过遵守国际标准提高企业竞争能力,提升企业形象
  4、明确定义所有组织的内部和外部的信息接口
   目标:谨防数据的误用和丢失
  5、建立安全工具使用方针
  6、谨防技术诀窍的丢失
  7、在组织内部增强安全意识
  8、可作为公共会计审计的证据

 


分享到:
点击次数:  更新时间:2015/5/26 22:10:18  【打印此页】  【关闭
上一条:没有了!  下一条:没有了!
 
关于我们 | 体系认证 | 产品认证 | 生产许可证 | 国际认证 | 管理培训 | 知识产权| 联系我们
Copyright©版权所有:泰州人从众企业管理有限公司专业从事于泰州认证公司,泰州ISO认证,泰州质量认证,欢迎来电咨询! 站长统计:
泰州环境认证,泰州安标认证,泰州管理咨询公司,泰州企业管理培训 备案号:苏ICP备18030926号-1 网站技术支持: 龙讯科技

在线客服

在线客服
点击这里给我发消息
在线客服
点击这里给我发消息