一、 什么是 ISO27001
与 ISO9001 等其它标准类似,ISO27001 也是一种国际标准。ISO27001 主要关注企业和组织的信息安全,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准,并且适用于大、中、小组织。
ISO27001:2013 是 2013 年 10 月由国际标准化组织(ISO)正式颁布。
ISO27001 是建立信息安全管理体系(ISMS)的一套需求规范(Information Security. Security techniques.
Information security management systems. Requirements),其中详细说明了建立、实施和维护、改进信息安全管理体系的要求,指出实施机构应该遵循的风险评估、风险处置标准,当然,如果要得到最终的认证(对依据 ISO27001 建立的 ISMS 进行认证),还有一系列相应的注册认证过程、而且通过国家认证机构的审核通过方可拿到资质证书
二、 什么是 ISO27001 认证
所谓认证,即由认证机构依据特定的审核准则,按照规定的程序和方法对受审核方实施审核,以确定特定事项的符合性的活动。
针对 ISO27001 的受认可的认证,是对组织信息安全管理体系(ISMS)符合 ISO27001 要求的一种认证。这是一种通过权威的第三方审核之后提供的保证:受认证的组织实施了信息安全管理体系,并且符合 ISO27001 标准的要求。
通过 ISO27001 认证的组织,将会被注册登记,其注册信息可在中国合格评定国家认可委员会(CNAS)、中国国家认证认可监督管理委员会(CNCA)网站进行查询。
三、 为什么要接受 ISO27001 认证?
我们都知道,没有绝对的信息安全,100%的安全是不现实也不可行的,对组织来说,符合 ISO27001 标准并且获得相应证书,其本身并不能证明组织达到了 100%的安全,除非停止所有的组织活动。但不管怎么说,作为一个全球公认的最权威的信息安全管理标准,ISO27001 能给组织带来的将是由里到外全面的价值提升,而且通过不断的过程改进使企业更加具有竞争力,就像下表所列举的那样。
针对性
|
获益点
|
简单说明
|
法律法规
|
遵守适用法律
|
证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。从一定角度讲,ISO27001 标准是对适用法律法规的补充和注解,因为 ISO27001 标准本身的制订,是参照了业界最通行的实践措施的,而这些实践措施,在很多国家相关的信息保护法规中
都有体现(例如美国的 SOX 法案、HIPAA、个人隐私法、计算机安全法、GLBA、政府信息安全修正法案等);另一方面,很多国家所推行的相关的行业指导性文件及要求,又可能是参照 ISO27001 而拟定的。因此,通过 ISO27001 认证,可以使组织更有效地履行国家法律和行业规范的要求。
|
外部期望
|
提升信誉,增强客户及第三方的信心
|
当合作伙伴、股东和客户看到组织为保护信息而付出的努力时,其对组织的信心将得到加强。同样的,证书的获得,有助于确定组织在同行业内的竞争优势,提升其市场地位。事实上,现在很多国际性的投标项目已经开始要求 ISO27001 符合性了。
|
管理层
|
履行责任
|
证书的获得,本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。
|
员工
|
增强意识、责任感和相关技能
|
提升员工的安全意识,增强其责任感,减少人为原因造成的不必要的损失。
|
核心业务
|
保证持续运行
|
全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架。
|
信息环境
日常运作
|
实现风险管理
|
有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。
|
财务状况
|
减少损失,降低成本
|
ISMS 的实施,本身也能降低因为潜在安全事件发生而给组织带来的损失,另外,也有可能减少保险金支出。
|
四、 申请 ISO27001 认证需要满足哪些条件及材料?
申请 ISO27001 认证的基本条件:
1) 中国企业持有工商行政管理部门颁发的《企业法人营业执照》《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。
2) 申请方的信息安全管理体系已按 ISO/IEC
27001:2013 标准的要求建立,并实施运行 3 个月以上。
3) 至少完成一次内部审核,并进行了管理评审。
4) 信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
申请 ISO27001 认证应提交的文件及材料:
1) 组织法律证明文件,如营业执照及年检证明复印件(盖公章);
2) 组织机构代码证书复印件、税务登记证复印件(盖公章) ;
3) 申请认证组织的信息安全管理体系有效运行的证明文件(如体系文件发布控制表,有时间标记的记录等复印件);
4) 申请组织的简介:
a) 组织简介;
b) 申请组织的主要业务流程;
c) 组织机构图或职能表述文件;
5) 申请组织的体系文件,需包含但不仅限于(可以合并):
a) 信息安全管理体系 ISMS 方针文件;
b) 风险评估程序;
c) 适用性声明;
d) 风险处理程序;
e) 文件控制程序;
f) 记录控制程序;
g) 内部审核程序;
h) 管理评审程序;
i) 纠正措施与预防措施程序;
j) 控制措施有效性的测量程序;
k) 职能角色分配表;
l) 整个体系文件结构与清单。
6) 申请组织体系文件与 GB/T22080-2008/ISO/IEC 27001:2013 要求的文件对照说明;
7) 申请组织内部审核和管理评审的证明资料;
8) 申请组织记录保密性或敏感性声明;
9) 认证机构要求申请组织提交的其他补充资料。
五、 相关费用
企业认证
(ISMS/ISO
270001)
|
审核认证费用(必须交纳的国际费用)
|
10万元整
|
咨询费用(员工规模<150)
|
12万元整
|
咨询费用(150<员工规模<500)
|
35万
|
咨询费用(员工规模>500)
|
58万
|
个人认证
(ISO/IEC27001
Foudation)
|
考试费
|
1500元
|
培训鉴定费
|
4500元
|
六、 授课专家
赵凤伟:APMG中国区唯一ISO27001授权认证讲师。
多年的安全咨询、安全服务大项目经验,多次成功的为某大型企业建立安全管理体系,安全审计、安全渗透、安全加固方面的信息安全专业服务
主要研究方向基于神经网络智能自主学习的入侵检
测系统(IDS)、信息安全顶层设计、IATF信息保障技术框架、计算机等级保护等相关安全标准的研究 。
先后参与国家863攻防实验室的设计、组件、攻防
渗透演练等。曾就职北京启明星辰信息技术有限公司、丰富的应急响应体系建设、安全攻防、网络规划、风险评估等项目经验、有多年的培训经历、为社会培养了大量的安全培训师、课堂注重理论与实操、气氛活跃、让学员在愉快的环境下学习知识,受到学员的广泛好评
多次应邀国外媒体如芬兰电视台、半岛电视台等针对
国际信息安全事态发展、安全战略规划、apt攻击等专题访谈
|
|
1、 所取得的证书与资质
ISO/IEC27001 Approved Trainer (APMG Foundation/Practitioner)
ISO/IEC27001 审核员
CISSP (Certified
information system security profession)
CISP-AUDIT 注册信息安全审计师
ITIL V3 Foundation certification
CIW(Certified Internet
Webmaster)
MCSE 2000/2003
(Microsoft Certified Systems Engineer)
CCNA(Cisco Certified
Network Associate)
RSA (security
Certified profession) security master
2、社会职位
北京中培伟业管理咨询有限公司资深讲师
北京中培伟业管理咨询有限公司信息安全管理体系、攻防渗透、风险评估咨询顾问
工信部教育中心金牌讲师
中科院计算所信息安全资深讲师
国家某部队应急响应安全专家
3、授课方向及领域专长
CISP-AUDIT 注册信息安全审计师
CISA美国注册信息系统审计师
高级黑客攻防实战
国家软考-系统集成项目管理工程师/信息系统项目管理师
国家软考-网络管理员/网络工程师/网络规划设计师
ITIL foundation 资质培训
IT项目管理
信息安全规划设计与实现
网络与信息系统安全
网络操作系统管理、配置、优化
网络设备交换机/路由器配置与管理
七、 成功案例
l 神华集团信息安全规划项目
项目范围:神华集团总部
项目简介:为进行未来3年信息安全规划,建设和完善神华集团信息安全体系,满足各类监管要求,全面提升神华集团信息安全水平,保障集团信息化建设顺利进行,进而提升企业竞争力,为建设具有国际竞争力的世界一流煤炭综合能源企业的宏伟战略目标中培协助神华集团提供信息安全规划咨询服务。
l 千红药业信息安全管理咨询项目
项目范围:千红药业
项目简介:千红药业为上市医药公司,通过项目的实施将协助千红药业改革并建立一套科学的、符合公司发展战略的信息化安全管理体系及其配套的制度、流程和方法,包括建立与企业发展战略及实际情况相适应的信息化安全管理制度,达到企业内外部的网络设置的科学、合理、高效;建立信息安全保密管理体系以及配套的制度、流程、办法,达到企业文档机密不外泄的目的;建立上网行为、文档操作以及配套的制度、流程、办法,以达到提高工作效率,适应企业快速发展需要的目的。
l 青岛啤酒信息安全管理咨询项目
项目范围:青岛啤酒
项目简介:通过项目的实施,全面、准确地了解渠道啤酒的信息安全现状,分析准载的信息安全风险,结合行业、国内和国际的最佳实践经验,以ISO27001为实施标准,建立青岛啤酒公司的信息安全管理体系,并顺利通过ISO27001认证,取得认证证书。
l 中国五矿集团安全保障服务一、二、三期项目
项目范围:中国五矿集团总部
项目简介:为支撑集团业务发展战略,保障五矿集团公司信息化及相关业务应用系统安全、有效、文档运行,根据国家相关标准政策,组织建设中国五矿集团信息安全保障体系建设项目。以实现中国五矿集团公司信息安全框架和总体发展规划的既定目标。中培自2009年起为五矿集团提供一、二期安全服务后,近日,五矿继续选择中培作为其安全服务商,为其提供第三期安全服务。
l 佳通轮胎安全评估服务项目
项目范围:佳通轮胎
项目简介:佳通轮胎通过对电子商务系统安全架构和开发过程进行分析,发现电子商务网站在安全架构以及代码安全方面的隐患,并对重要服务器进行安全评估、渗透测试,有针对性的提出加固方案;同时设计电子商务网站IT运维流,并对开发团队进行安全开发生命周期(SDL)培训。
八、 国际授权
信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。目前由APMG组织进行授权管理.中培是目前中国区唯一获得国际APMG组织最新授权的认证与培训机构。
[1] |