1、认证介绍
ISO/IEC 17799 (信息安全管理最佳实践指南)目前是国际上唯一的关于信息安全管理的国际标准。该标准强调以风险管理为基础的、全面的安全管理,目前该方法在世界范围内得到认可。ISO27001(信息安全管理体系规范)是ISO/IEC 17799 的姊妹对标准,是信息安全管理体系审核的依据标准。目前,依据ISO27001建立信息安全管理体系并获得认证正成为世界潮流。信息安全管理体系认证正被世界上越来越多的组织接受,加入到建立信息安全管理体系并获得认证的行列中来。信息安全管理体系认证象ISO 9000 质量管理体系认证一样,已成为一种潮流,成为一种产业。
审核是任何管理体系成功的关键,对于信息安全管理体系也是一样。体系审核担负着重大的责任并面临着严重的挑战,同时审核中也会遇到很复杂的问题。因此,持有ISO27001 审核员证书的人才正成为各大公司、验证机构争相猎取的高级人才。
2、适合对象
◎准备正式地、按ISO/IEC 17799(BS7799)实施信息安全管理体系的组织的领导者或项目的实施者
◎已经是安全审核员,但希望能够扩展他们的审核经验的学员
◎希望提供给客户信息安全管理体系审核知识的顾问
◎信息安全和质量管理工作人员
3、ISO27001介绍
ISO27001是国际信息安全领域的重要标准,它来源于英国标准协会(British Standards Institute,BSI)于1995年2月制定的信息安全管理标准--BS7799,BS7799分两个部分,其第一部分于2000年被ISO组织采纳,正式成为ISO/IEC 17799标准。该标准2005年经过最新改版,发展成为ISO/IEC 17799:2005标准。BS7799标准的第二部分经过长时间讨论修订,也于2005年成为正式的ISO标准,即ISO/IEC 27001:2005。
ISO27001:2005标准,是建立信息安全管理体系(ISMS)的一套规范(Specification for Information Security Management Systems),其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准。作为一套管理标准,ISO27001指导相关人员怎样去应用ISO/IEC 17799,其最终目的,在于帮助企业建立适合自身需要的信息安全管理体系。
4、相关资料推荐
1、ISO/IEC 17799:2005
2、ISO/IEC 27001:2005
5、学习内容
◎ISO/IEC 17799:2005
◎ISO/IEC ISO2700:2005
◎信息安全
◎信息安全的重要性
◎评估信息安全的威胁和脆弱性
◎管理安全风险
◎选择安全控制措施
◎信息安全管理系统实施(ISMS)步骤讲解及实践
·范围的确定
·资产的风险评估及风险管理的相关步骤
·相关方针及程序的建立
·系统文件需求的建立
·持续改进等一系列练习
◎信息安全管理体系审核技巧
◎领导和管理审核小组
◎会面技巧
◎审核报告
6、词汇
资产 Asset
对组织具有价值的信息资源,是安全策略保护的对象。
资产价值 Asset Value
资产的重要程度或敏感程度。资产价值是资产的属性,也是进行资产识别的主要内容。
威胁 Threat
可能对资产或组织造成损害的潜在原因。威胁可以通过威胁主体、资源、动机、途径等多种属性来刻画。
脆弱性 Vulnerability
可能被威胁利用对资产造成损害的薄弱环节。
信息安全风险 Information Security Risk
人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件及其对组织造成的影响。
信息安全风险评估 Information Security Risk Assessment
依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
残余风险 Residual Risk
采取了安全措施后,仍然可能存在的风险。
机密性 Confidentiality
使信息不泄露给未授权的个人、实体、过程或不使信息为其利用的特性。
完整性Integrality
保证信息及信息系统不会被有意地或无意地更改或破坏的特性。
可用性 Availability
可以由得到授权的实体按要求进行访问和使用的特性。
业务战略 Business Strategy
组织为实现其发展目标而制定的规则。
安全事件 Security Event
威胁利用脆弱性产生的危害情况。
安全需求 Security Requirement
为保证组织业务战略的正常运作而在安全措施方面提出的要求。
安全措施 Security Measure
保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制的总称。
自评估 Self-assessment
由组织自身发起,参照国家有关法规与标准,对信息系统及其管理进行的风险评估活动。
检查评估 Inspection Assessment
由被评估组织的上级主管机关或业务主管机关发起的,依据国家有关法规与标准,对信息系统及其管理进行的具有强制性的检查活动。
7、证书样本(点此处下载)
8、相关网站:
http://www.bsi-global.com/index.xalter
www.itgov.com.cn
http://www.xisec.com/
http://www.ukas.org
9、培训信息
- 治理评论第一期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第六期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]