ISMS建设及ISO27001认证咨询

ISMS(Information Security Management Systems,信息安全管理体系),是由国际标准ISO27001定义的一套有关信息安全管理的规范集,在国际范围内得到广泛认可。ISO/IEC 27001:2013基于风险管理方法和PDCA过程方法,通过对如下14个信息安全措施措施领域的日常安全防护,为组织提供全面的信息安全保障:

• 信息安全方针(Information security policies);

• 信息安全组织(Organization of information security);

• 人力资源安全 Human resource security);

• 资产管理(Asset management);

• 访问控制(Access control);

• 密码学(Cryptography);

• 物理和环境安全(Physical and environmental security);

• 运营安全(Operations security);

• 通信安全(Communications security);

• 信息系统获取、开发和维护(Information systems acquisition, development and maintenance);

• 供应商关系(Supplier relationships)

• 信息安全事件管理(Information security incident management);

• 业务连续性管理的信息安全方面(Information security aspects of Business continuity management);

• 符合性(Compliance)。

 

作为信息安全咨询服务提供者,中电运行公司在以ISO27001认证咨询为代表的信息安全管理体系建设方面经历了长期的实践,积累了丰富的经验。在帮助客户建立符合自身需求和国际标准要求的信息安全管理体系(ISMS)方面,中电运行公司的方法论体现在了PRDOC过程模型上,这个过程模型是对经典的PDCA管理模式的细化和过程化,并且更富有针对性和实效性。

PRDOC(Preparation,Risk Assessment,Design,Operation,Certification)模型如下图所示。

 

PRDOC模式将整个信息安全管理体系建设项目划分成五个阶段,共包含19项关键的活动,如果每项具有前后关联关系的活动都能很好地完成,最终就能建立起有效的ISMS,实现信息安全建设整体蓝图,接受ISO27001认证机构的审核并获得认证更是水到渠成的事情。

 

价值提升:

ISMS建设及ISO27001认证咨询服务帮助客户建立起能够真正落地执行的信息安全管理体系,能够帮助客户建立起组织内部的有关信息安全的“法”,让组织的员工在工作过程中有法可依,能够使客户的信息安全管理进行良性循环,能够使客户对其信息安全水平的高低进行度量,使信息安全水平和保障能力得到维持和不断提升。

  • 最佳实践