我公司為企業(yè)提供ISO27001信息安全服務(wù)資質(zhì)認證項目咨詢服務(wù)���,信息安全服務(wù)認證27001項目細分幾個項目類型���,包括信息系統(tǒng)風險服務(wù),屬于ISO27001信息安全服務(wù)體系認證其中的一個認證��,遵循BSI/DISC的BDD/2信息安全管理委員會頒發(fā)的標準化文件執(zhí)行���,在很多IT服務(wù)行業(yè)企業(yè)中得到廣泛的應(yīng)用。在此����,我們介紹一下ISO27001信息安全服務(wù)資質(zhì)中關(guān)于息系統(tǒng)風險服務(wù)項目���,這個項目申請的條件是什么,企業(yè)如何實施呢�。
企業(yè)信息安全管理水平可保障企業(yè)經(jīng)營、服務(wù)和日常管理活動�,防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失�、敏感信息的泄密所導(dǎo)致的業(yè)務(wù)中斷或安全事故,公司開展貫徹ISO/IEC:《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》標準的工作���,建立文件化的信息安全管理體系���,風險服務(wù)可為企業(yè)信息安全服務(wù)認證27001項目提供支持服務(wù)。
信息安全服務(wù)認證27001項目中關(guān)于風險服務(wù)能力�����,從以下四個方面體現(xiàn):
1����、基本資格、服務(wù)管理能力��、服務(wù)技術(shù)能力和服務(wù)過程能力�;
2�、服務(wù)人員的能力主要從掌握的知識�����、風險服務(wù)的經(jīng)驗等綜合評定����。
3、對服務(wù)提供方的背景審查主要指客戶投訴��、違法違紀行為等����;
4、服務(wù)人員的背景審查主要指行業(yè)主管部門或使用單位對從事風險服務(wù)的人員進行必要的審查�����。
信息安全服務(wù)認證27001項目企業(yè)的申請材料
1����、法律地位證明文件(如企業(yè)營業(yè)執(zhí)照等);
2�����、有效的資質(zhì)證明���、產(chǎn)品生產(chǎn)許可證���、強制性產(chǎn)品認證證書等涉及法律法規(guī)規(guī)定的行政許可的須提交相應(yīng)的行政許可證件復(fù)印件(需要時);
3�����、必須提供:組織簡介����、組織結(jié)構(gòu)(組織機構(gòu)圖)、人員情況和職能分工�����、過程路線圖/工藝流程圖/過程描述(應(yīng)明確說明關(guān)鍵過程和特殊過程)及其有關(guān)的過程文件��,如:風險控制情況�����、對IT的應(yīng)用等;
4����、至少應(yīng)提供以下文件化信息:方針、目標�����、范圍����、組織為過程運行及溝通而保持的信息;
5.其他相關(guān)的行業(yè)許可資質(zhì)(如系統(tǒng)集成資質(zhì)�����、增值電信許可資質(zhì)��、軟件著作權(quán)��、專利���、商標許可等)���;
6.公司內(nèi)現(xiàn)有的IT硬件����、辦公電腦設(shè)備清單��、網(wǎng)絡(luò)設(shè)備/服務(wù)器設(shè)備清單�;
7����、關(guān)于認證活動的限制條件(如出于安全和/或保密等原因,存在時)�����。
信息安全服務(wù)認證27001項目關(guān)于風險服務(wù)內(nèi)容中�����,規(guī)定了根據(jù)獨立組織的需要應(yīng)實施安全控制的要求�����,包含了多個項目的ISO27001信息安全服務(wù)資質(zhì)項目��,我們詳細介紹一下有哪些項目屬于信息安全服務(wù)認證27001項目�����。
信息安全服務(wù)服務(wù)
信息安全服務(wù)資質(zhì)
信息安全風險
信息安全應(yīng)急處理
信息系統(tǒng)安全集成
信息系統(tǒng)災(zāi)難備份與恢復(fù)
軟件安全開發(fā)
信息系統(tǒng)安全運維
涉密信息系統(tǒng)集成資質(zhì)
信息安全服務(wù)認證27001項目的風險控制,基于風險的思維是一種思維方法���,要與過程方法結(jié)合��,其應(yīng)用情境可以分為兩類:
體系策劃的風險:在對企業(yè)目標及其實現(xiàn)計劃做組織策劃時�,需要考慮到組織環(huán)境與相關(guān)方的影響�。
產(chǎn)品風險及過程風險:在項目策劃到產(chǎn)品及過程設(shè)計直至交付客戶的整個運營過程都需要加入對產(chǎn)品及過程的風險考量
信息安全服務(wù)認證27001項目的信息風險服務(wù)資質(zhì)認證需要哪些條件?資質(zhì)級別可區(qū)分幾級呢�?
資質(zhì)級別分為一級、二級����、三級共三個級別,其中一級��,三級�。
信息系統(tǒng)風險認證分為哪幾個步驟?
1�、資產(chǎn)識別與賦值:對范圍內(nèi)的所有資產(chǎn)進行識別,并調(diào)查資產(chǎn)破壞后可能造成的損失大小�,根據(jù)危害和損的大小為資產(chǎn)進行相對賦值;資產(chǎn)包括硬件��、軟件、服務(wù)���、信息和人員等��。
2�����、威脅識別與賦值:即分析資產(chǎn)所面臨的每種威脅發(fā)生的頻率,威脅包括環(huán)境因素和人為因素��。
3��、脆弱性識別與賦值:從管理和技術(shù)兩個方面發(fā)現(xiàn)和識別脆弱性�,根據(jù)被威脅利用時對資產(chǎn)造成的損害進行賦值。
4�����、風險值計算:通過分析上述測試數(shù)據(jù)����,進行風險值計算,識別和確認高風險����,并針對存在的安全風險提出整改建議��。
5��、被單位可根據(jù)風險服務(wù)結(jié)果防范和化解信息安全風險���,或者將風險控制在可接受的水平,為限度地保障網(wǎng)絡(luò)和信息安全提供科學依據(jù)�����。
信息安全風險操作范圍可以為整個組織�����,也可以是組織中的某一部門�����,或者獨立的信息系統(tǒng)����、特定系統(tǒng)組件和服務(wù)。
影響信息安全風險進展的某些因素����,包括時間����、力度��、展開幅度和深度��,都應(yīng)與組織的環(huán)境和安全要求相符合��。組織應(yīng)該針對不同的情況來選擇恰當?shù)娘L險服務(wù)途徑�����。
信息安全風險的主要任務(wù)包括:識別對象面臨的各種風險���;風險概率和可能帶來的負面影響;確定組織承受風險的能力��;確定風險消減和控制的優(yōu)先等級���;推薦風險消減對策����。
