我公司為企業(yè)提供ISO27001信息安全服務(wù)資質(zhì)認證項目咨詢(xún)服務(wù)��,信息安全服務(wù)認證27001項目細分幾個(gè)項目類(lèi)型���,包括信息系統風(fēng)險服務(wù)�,屬于ISO27001信息安全服務(wù)體系認證其中的一個(gè)認證����,遵循BSI/DISC的BDD/2信息安全管理委員會(huì )頒發(fā)的標準化文件執行����,在很多IT服務(wù)行業(yè)企業(yè)中得到廣泛的應用�����。在此���,我們介紹一下ISO27001信息安全服務(wù)資質(zhì)中關(guān)于息系統風(fēng)險服務(wù)項目��,這個(gè)項目申請的條件是什么�����,企業(yè)如何實(shí)施呢����。
企業(yè)信息安全管理水平可保障企業(yè)經(jīng)營(yíng)����、服務(wù)和日常管理活動(dòng)��,防止由于信息系統的中斷�、數據的丟失��、敏感信息的泄密所導致的業(yè)務(wù)中斷或安全事故����,公司開(kāi)展貫徹ISO/IEC:《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》標準的工作�����,建立文件化的信息安全管理體系�,風(fēng)險服務(wù)可為企業(yè)信息安全服務(wù)認證27001項目提供支持服務(wù)����。
信息安全服務(wù)認證27001項目中關(guān)于風(fēng)險服務(wù)能力���,從以下四個(gè)方面體現:
1����、基本資格�、服務(wù)管理能力���、服務(wù)技術(shù)能力和服務(wù)過(guò)程能力��;
2���、服務(wù)人員的能力主要從掌握的知識�����、風(fēng)險服務(wù)的經(jīng)驗等綜合評定���。
3�、對服務(wù)提供方的背景審查主要指客戶(hù)投訴��、違法違紀行為等���;
4���、服務(wù)人員的背景審查主要指行業(yè)主管部門(mén)或使用單位對從事風(fēng)險服務(wù)的人員進(jìn)行必要的審查��。
信息安全服務(wù)認證27001項目企業(yè)的申請材料
1��、法律地位證明文件(如企業(yè)營(yíng)業(yè)執照等)�����;
2���、有效的資質(zhì)證明��、產(chǎn)品生產(chǎn)許可證��、強制性產(chǎn)品認證證書(shū)等涉及法律法規規定的行政許可的須提交相應的行政許可證件復印件(需要時(shí))�;
3��、必須提供:組織簡(jiǎn)介���、組織結構(組織機構圖)�����、人員情況和職能分工���、過(guò)程路線(xiàn)圖/工藝流程圖/過(guò)程描述(應明確說(shuō)明關(guān)鍵過(guò)程和特殊過(guò)程)及其有關(guān)的過(guò)程文件�����,如:風(fēng)險控制情況�、對IT的應用等�;
4�����、至少應提供以下文件化信息:方針���、目標�����、范圍��、組織為過(guò)程運行及溝通而保持的信息��;
5.其他相關(guān)的行業(yè)許可資質(zhì)(如系統集成資質(zhì)���、增值電信許可資質(zhì)����、軟件著(zhù)作權�����、專(zhuān)利��、商標許可等)��;
6.公司內現有的IT硬件����、辦公電腦設備清單�����、網(wǎng)絡(luò )設備/服務(wù)器設備清單�����;
7�����、關(guān)于認證活動(dòng)的限制條件(如出于安全和/或保密等原因����,存在時(shí))��。
信息安全服務(wù)認證27001項目關(guān)于風(fēng)險服務(wù)內容中�,規定了根據獨立組織的需要應實(shí)施安全控制的要求��,包含了多個(gè)項目的ISO27001信息安全服務(wù)資質(zhì)項目����,我們詳細介紹一下有哪些項目屬于信息安全服務(wù)認證27001項目����。
信息安全服務(wù)服務(wù)
信息安全服務(wù)資質(zhì)
信息安全風(fēng)險
信息安全應急處理
信息系統安全集成
信息系統災難備份與恢復
軟件安全開(kāi)發(fā)
信息系統安全運維
涉密信息系統集成資質(zhì)
信息安全服務(wù)認證27001項目的風(fēng)險控制�����,基于風(fēng)險的思維是一種思維方法����,要與過(guò)程方法結合���,其應用情境可以分為兩類(lèi):
體系策劃的風(fēng)險:在對企業(yè)目標及其實(shí)現計劃做組織策劃時(shí)�,需要考慮到組織環(huán)境與相關(guān)方的影響���。
產(chǎn)品風(fēng)險及過(guò)程風(fēng)險:在項目策劃到產(chǎn)品及過(guò)程設計直至交付客戶(hù)的整個(gè)運營(yíng)過(guò)程都需要加入對產(chǎn)品及過(guò)程的風(fēng)險考量
信息安全服務(wù)認證27001項目的信息風(fēng)險服務(wù)資質(zhì)認證需要哪些條件�����?資質(zhì)級別可區分幾級呢����?
資質(zhì)級別分為一級��、二級���、三級共三個(gè)級別����,其中一級�����,三級��。
信息系統風(fēng)險認證分為哪幾個(gè)步驟�����?
1��、資產(chǎn)識別與賦值:對范圍內的所有資產(chǎn)進(jìn)行識別�����,并調查資產(chǎn)破壞后可能造成的損失大小����,根據危害和損的大小為資產(chǎn)進(jìn)行相對賦值���;資產(chǎn)包括硬件��、軟件����、服務(wù)����、信息和人員等�����。
2�����、威脅識別與賦值:即分析資產(chǎn)所面臨的每種威脅發(fā)生的頻率���,威脅包括環(huán)境因素和人為因素����。
3��、脆弱性識別與賦值:從管理和技術(shù)兩個(gè)方面發(fā)現和識別脆弱性����,根據被威脅利用時(shí)對資產(chǎn)造成的損害進(jìn)行賦值�。
4�����、風(fēng)險值計算:通過(guò)分析上述測試數據�,進(jìn)行風(fēng)險值計算����,識別和確認高風(fēng)險����,并針對存在的安全風(fēng)險提出整改建議�����。
5�、被單位可根據風(fēng)險服務(wù)結果防范和化解信息安全風(fēng)險�����,或者將風(fēng)險控制在可接受的水平���,為限度地保障網(wǎng)絡(luò )和信息安全提供科學(xué)依據�����。
信息安全風(fēng)險操作范圍可以為整個(gè)組織�,也可以是組織中的某一部門(mén)���,或者獨立的信息系統����、特定系統組件和服務(wù)��。
影響信息安全風(fēng)險進(jìn)展的某些因素�,包括時(shí)間��、力度�、展開(kāi)幅度和深度�����,都應與組織的環(huán)境和安全要求相符合�����。組織應該針對不同的情況來(lái)選擇恰當的風(fēng)險服務(wù)途徑����。
信息安全風(fēng)險的主要任務(wù)包括:識別對象面臨的各種風(fēng)險�;風(fēng)險概率和可能帶來(lái)的負面影響�����;確定組織承受風(fēng)險的能力��;確定風(fēng)險消減和控制的優(yōu)先等級��;推薦風(fēng)險消減對策��。
