不得不知的信息安全管理新高度——启明星辰安全管理体系咨询服务
发布时间 2019-10-21
如何让信息安全管理体系既满足网络安全法和等级保护2.0相关要求,又满足ISO/IEC 27000要求?两种标准该如何融合?
今天小编就带着这个问题,与大家聊聊,如何构建信息安全管理体系?
常说信息安全是“三分靠技术,七分靠管理”,既要做到技管并重,又要做到“有计划、有目标、发现问题、分析问题、采取措施、解决问题、后续监督避免再现问题”这样全流程的信息安全管理思路。
启明星辰前场专业安全服务管理中心综合考虑企业未来发展战略和所面临的合规性要求,将ISO/IEC 27000和等级保护2.0两个标准相融合,形成一套完整的、科学的、可落地的信息安全管理体系。
•管理新高度(整合ISMS和等级保护)
整合ISO/IEC 27001:2013和等级保护2.0两种标准,形成一套信息安全管理体系,既满足ISO/IEC 27001要求,又符合等级保护2.0相关要求。
•与时俱进(基于最新标准)
基于最新的ISO/IEC 27001:2013和最新发布等级保护2.0相关标准,充分考虑了新技术、新需求,保证安全管理体系更加贴合客户实际需求,满足企业长久规划。
•扬长补短(基于最佳实践方法论)
汲取国内外相关先进思想、理念和方法,并参考PDCA、IATF、Garnter自适应安全架构、ISO20000、ITIL、COBIT等国际国内标准和规范,归纳出符合实际的信息安全管理体系方法论。
现状调研及差距分析是实施人员通过现场调查、人员访谈、文件审阅等途径,全面了解客户与信息安全相关的业务状况,发掘各种信息安全问题和隐患,分析原因,归类总结,同时对标ISO/IEC 27001:2013和等级保护2.0之间的差距,明确今后项目实施的重点。
•风险评估
风险评估是建立信息安全管理体系的先决条件,是PDCA中Plan阶段最关键的一项活动,其结果将直接决定着后续阶段工作是否有据可循。风险评估是针对安全管理体系范围内的所有信息资产,识别并评价其面临的威胁及弱点,确定资产风险等级,选择安全控制措施,制定风险处置计划,进行残余风险分析。
•体系规划与设计
安全管理体系建设规划是分析风险评估得出的风险处置结果,根据这些处置结果,制定文件体系框架,按照ISO27001标准要求的文件体系,构建层细化的四级文件体系。同时对文档体系进行编写、测试、修订并完善。
•体系实施与评审
体系实施与评审是组织管理者正式发布安全管理体系,落实信息安全管理措施,部署信息安全技术措施,运行信息安全管理体系,按照ISO 27001和等级保护的要求进行评审,检查安全管理体系是否符合组织要求。
为的就是你
启明星辰安全管理体系咨询服务通过差距评估和风险分析,帮助企业及时了解安全现状和安全管理问题。通过构建信息安全管理体系,帮助企业提升整体安全保障和管理能力,满足等级保护测评和获得ISO27001认证,进而提升企业形象和竞争力。
今天小编就带着这个问题,与大家聊聊,如何构建信息安全管理体系?
常说信息安全是“三分靠技术,七分靠管理”,既要做到技管并重,又要做到“有计划、有目标、发现问题、分析问题、采取措施、解决问题、后续监督避免再现问题”这样全流程的信息安全管理思路。
启明星辰前场专业安全服务管理中心综合考虑企业未来发展战略和所面临的合规性要求,将ISO/IEC 27000和等级保护2.0两个标准相融合,形成一套完整的、科学的、可落地的信息安全管理体系。
•管理新高度(整合ISMS和等级保护)
整合ISO/IEC 27001:2013和等级保护2.0两种标准,形成一套信息安全管理体系,既满足ISO/IEC 27001要求,又符合等级保护2.0相关要求。
•与时俱进(基于最新标准)
基于最新的ISO/IEC 27001:2013和最新发布等级保护2.0相关标准,充分考虑了新技术、新需求,保证安全管理体系更加贴合客户实际需求,满足企业长久规划。
•扬长补短(基于最佳实践方法论)
汲取国内外相关先进思想、理念和方法,并参考PDCA、IATF、Garnter自适应安全架构、ISO20000、ITIL、COBIT等国际国内标准和规范,归纳出符合实际的信息安全管理体系方法论。
现状调研及差距分析是实施人员通过现场调查、人员访谈、文件审阅等途径,全面了解客户与信息安全相关的业务状况,发掘各种信息安全问题和隐患,分析原因,归类总结,同时对标ISO/IEC 27001:2013和等级保护2.0之间的差距,明确今后项目实施的重点。
•风险评估
风险评估是建立信息安全管理体系的先决条件,是PDCA中Plan阶段最关键的一项活动,其结果将直接决定着后续阶段工作是否有据可循。风险评估是针对安全管理体系范围内的所有信息资产,识别并评价其面临的威胁及弱点,确定资产风险等级,选择安全控制措施,制定风险处置计划,进行残余风险分析。
•体系规划与设计
安全管理体系建设规划是分析风险评估得出的风险处置结果,根据这些处置结果,制定文件体系框架,按照ISO27001标准要求的文件体系,构建层细化的四级文件体系。同时对文档体系进行编写、测试、修订并完善。
•体系实施与评审
体系实施与评审是组织管理者正式发布安全管理体系,落实信息安全管理措施,部署信息安全技术措施,运行信息安全管理体系,按照ISO 27001和等级保护的要求进行评审,检查安全管理体系是否符合组织要求。
为的就是你
启明星辰安全管理体系咨询服务通过差距评估和风险分析,帮助企业及时了解安全现状和安全管理问题。通过构建信息安全管理体系,帮助企业提升整体安全保障和管理能力,满足等级保护测评和获得ISO27001认证,进而提升企业形象和竞争力。
京公网安备11010802024551号