杭州貝安**提供ISO27000認(rèn)證認(rèn)證咨詢熱點(diǎn): ISO體系認(rèn)證優(yōu)勢: 協(xié)助企業(yè)順利通過 | 安全管理體系杭州貝安**提供ISO9001﹨14001﹨18001，質(zhì)量環(huán)境安全管理體系咨詢，協(xié)助企業(yè)順利通過認(rèn)證

ISO27000/BS7799的信息管理過程

確定信息安全管理方針

確定ISMS(信息安全管理體系)的范圍

進(jìn)行風(fēng)險(xiǎn)分析

選擇控制目標(biāo)并進(jìn)行控制

建立業(yè)務(wù)持續(xù)計(jì)劃

建立并實(shí)施安全管理體系

杭州貝安**提供ISO27000認(rèn)證認(rèn)證咨詢熱點(diǎn): ISO體系認(rèn)證優(yōu)勢: 協(xié)助企業(yè)順利通過 | 安全管理體系杭州貝安**提供ISO9001﹨14001﹨18001，質(zhì)量環(huán)境安全管理體系咨詢，協(xié)助企業(yè)順利通過認(rèn)證

建立HTP的步驟

　?。ㄒ唬┰诔浞掷斫饨M織業(yè)務(wù)目標(biāo)、組織文件及信息安全的條件下，通過ISO13335的風(fēng)險(xiǎn)分析的方法，通過建立組織的信息安全基線(Security baseline)，可以對組織的安全的現(xiàn)狀有一個清晰的了解，并可以為以后進(jìn)行安全控制績效分析提供一個評價(jià)基礎(chǔ)。

　　1．理解組織業(yè)務(wù)與組織文化

　　充分了解組織業(yè)務(wù)是設(shè)計(jì)安全方案的前提，只有了解組織業(yè)務(wù)，才能發(fā)現(xiàn)并分析組織業(yè)務(wù)所處的風(fēng)險(xiǎn)環(huán)境，并在此基礎(chǔ)上提出可能的安全保障措施；只有了解組織業(yè)務(wù)，才可能定義出合理的安全投資規(guī)模和計(jì)劃；只有了解組織業(yè)務(wù)，才能制定出合理的安全政策和制度。

　　對組織業(yè)務(wù)的了解，包括對其業(yè)務(wù)內(nèi)容、性質(zhì)、目標(biāo)及其價(jià)值進(jìn)行分析，在信息安全中，業(yè)務(wù)一般是以資產(chǎn)形式表現(xiàn)出來，它包括信息/數(shù)據(jù)、軟/硬件、無形資產(chǎn)、人員及其能力等。安全風(fēng)險(xiǎn)管理理論認(rèn)為，對業(yè)務(wù)資產(chǎn)的適度保護(hù)對業(yè)務(wù)的成功至關(guān)重要。要實(shí)現(xiàn)對業(yè)務(wù)資產(chǎn)的有效保護(hù)，必須要對資產(chǎn)有很清晰的了解。

　　對組織文化及員工狀況的了解有助于知道組織中員工的安全意識、心理狀況和行為狀況，為制定合理的安全政策打下基礎(chǔ)。

　　2．評估用戶組織風(fēng)險(xiǎn)環(huán)境

　　ISO/IEC TR 13335-1把風(fēng)險(xiǎn)的定義為特定的威脅利用資產(chǎn)的一種或一組薄弱點(diǎn)，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性。風(fēng)險(xiǎn)評估是對信息和信息處理設(shè)施的威脅、影響和薄弱點(diǎn)及三者發(fā)生的可能性評估，即利用適當(dāng)?shù)娘L(fēng)險(xiǎn)評估工具、包括定性與定量的方法，確定資產(chǎn)風(fēng)險(xiǎn)等級和優(yōu)先控制順序。

　　通過風(fēng)險(xiǎn)評估，上圖中位于“主要高商業(yè)風(fēng)險(xiǎn)”區(qū)域的風(fēng)險(xiǎn)對組織的安全水平有著顯著的影響，是應(yīng)主要加以控制的風(fēng)險(xiǎn)；位于“高可能性”和“高影響”區(qū)域的風(fēng)險(xiǎn)要根據(jù)組織的接受風(fēng)險(xiǎn)的能力，可適當(dāng)加以控制；位于“低風(fēng)險(xiǎn)”區(qū)域的風(fēng)險(xiǎn)只要是處于組織可以接受的水平，一般可以忽略。

　　3．準(zhǔn)備安全基線分析報(bào)告

　　通過對組織業(yè)務(wù)特征、組織文化、安全意識、人員狀況及信息風(fēng)險(xiǎn)評估的綜合分析，詳細(xì)描述當(dāng)前組織的信息安全狀況，**ISO270000認(rèn)證機(jī)構(gòu)，為進(jìn)一步制定信息安全投資預(yù)算計(jì)劃、信息安全投資回報(bào)分析、人員組織計(jì)劃、建立安全體系、制定安全政策、引入安全控制措施而提供基礎(chǔ)數(shù)據(jù)、輔助管理層對信息安全管理的計(jì)劃與實(shí)踐做出正確決策。

iso認(rèn)證咨詢選機(jī)構(gòu)杭州貝安咨詢，ISO質(zhì)量認(rèn)證，iso認(rèn)證/ISO14001/OHSAS18001/ISO22000/ISO13485/系統(tǒng)集成認(rèn)證

信息安全發(fā)展至今，人們越來越認(rèn)識到安全管理在整個信息安全建設(shè)過程中的重要性，而作為信息安全管理方面國際標(biāo)準(zhǔn)——ISO27001（即之前所稱的ISO27000/BS7799標(biāo)準(zhǔn)），則成為可以指導(dǎo)我們現(xiàn)實(shí)工作的參照。

      ISO27000/BS7799是英國標(biāo)準(zhǔn)協(xié)會（British Standards Institute，BSI）于1995年2月制定的信息安全管理標(biāo)準(zhǔn)，分兩個部分，其分于2000年被ISO組織采納，正式成為ISO27000/BS7799標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)2005年經(jīng)過改版，發(fā)展成為ISO27000/BS7799:2005標(biāo)準(zhǔn)。ISO27000/BS7799標(biāo)準(zhǔn)的第二部分經(jīng)過長時(shí)間討論修訂，也于2005年成為正式的ISO標(biāo)準(zhǔn)，即ISO27000/BS7799:2005。

      IISO27000/BS7799:2005標(biāo)準(zhǔn)（即ISO27000/BS7799部分），是信息安全管理實(shí)施細(xì)則（Code of Practice for Information Security Management），其中包含11個主題，定義了133個安全控制。ISO27000/BS77992005中的11個主題分別是：

     ◆  安全策略（Security policy）；

     ◆  信息安全組織（Organization of information security）；

     ◆  資產(chǎn)管理（Asset management）；

     ◆  人力資源安全 （Human resource security）；

     ◆  物理和環(huán)境安全（Physical and environmental security）；

     ◆  通信和操作管理（Communication and operation management）；

     ◆   訪問控制（Access control）；

     ◆  信息系統(tǒng)獲取、開發(fā)和維護(hù)（Information systems acquisition， development and maintenance）；

     ◆  信息安全事件管理（Information security incident management）；

     ◆  業(yè)務(wù)連續(xù)性管理（Business continuity management）；

     ◆  符合性（Compliance）。

       ISO27000/BS7799:2005標(biāo)準(zhǔn)，是建立信息安全管理體系（ISMS）的一套規(guī)范（Specification for Information Security Management Systems），其中詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，指出實(shí)施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)，當(dāng)然，如果要得到BSI終的認(rèn)證（對依據(jù)ISO27000/BS7799建立的ISMS進(jìn)行認(rèn)證），還有一系列相應(yīng)的注冊認(rèn)證過程。作為一套管理標(biāo)準(zhǔn)，ISO27000/BS7799指導(dǎo)相關(guān)人員怎樣去應(yīng)用ISO27000/BS7799，其終目的，還在于建立適合企業(yè)需要的信息安全管理體系。

杭州貝安(多圖)-屯昌**ISO270000認(rèn)證費(fèi)用由杭州貝安企業(yè)管理有限公司提供。杭州貝安企業(yè)管理有限公司（www.jiaweihz.com）是浙江 杭州 ,教育、培訓(xùn)的企業(yè)，多年來，公司貫徹執(zhí)行科學(xué)管理、創(chuàng)新發(fā)展、誠實(shí)守信的方針，滿足客戶需求。在杭州貝安領(lǐng)導(dǎo)攜全體員工熱情歡迎各界人士垂詢洽談，共創(chuàng)杭州貝安更加美好的未來。