辦理惠州ISO27000認(rèn)證咨詢，ISO認(rèn)證內(nèi)容
廣州凱方企業(yè)管理有限公司是一家提供綜合性咨詢服務(wù)公司。咨詢服務(wù)主要從事中國強(qiáng)制性產(chǎn)品認(rèn)證CCC（3C）認(rèn)證代理、CE認(rèn)證、UL認(rèn)證、FCC認(rèn)證、ISO體系認(rèn)證咨詢的綜合性認(rèn)證咨詢公司。 廣州ISO認(rèn)證公司，辦理ISO認(rèn)證周期，ISO咨詢公司
為您提供認(rèn)證服務(wù)：
歐洲認(rèn)證：環(huán)保RoHS/WEEE CE認(rèn)證 GS認(rèn)證 全球互認(rèn)體系CB 德國VDE
車載E/e Mark等；
美洲認(rèn)證：美國UL FCC FDA ETL 加拿大CSA等；
澳洲認(rèn)證：澳洲C-Tick 澳洲SAA等；
亞洲認(rèn)證：日本PSE 新加坡PSB 日本電磁兼容VCCI；
中國認(rèn)證：中國3C強(qiáng)制認(rèn)證中國CQC自愿性認(rèn)證
EUP ，CE,FCC,ROHS,CB,GS,FDA,CCC等各國認(rèn)證．
歐美授權(quán)認(rèn)可的CE認(rèn)證公司,FCC認(rèn)證中心，RoHS測(cè)試機(jī)構(gòu).
ISO27000主要內(nèi)容
標(biāo)準(zhǔn)的主要內(nèi)容
ISO/IEC17799-2000（BS7799-1）對(duì)信息安全管理給出建議，供負(fù)責(zé)在其組織啟動(dòng)、實(shí)施或維護(hù)安全的人員使用。該標(biāo)準(zhǔn)為開發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理做法提供公共基礎(chǔ)，并為組織之間的交往提供信任。
標(biāo)準(zhǔn)指出“象其他重要業(yè)務(wù)資產(chǎn)一樣，信息也是一種資產(chǎn)”。它對(duì)一個(gè)組織具有價(jià)值，因此需要加以合適地保護(hù)。信息安全防止信息受到的各種威脅，以確保業(yè)務(wù)連續(xù)性，使業(yè)務(wù)受到損害的風(fēng)險(xiǎn)減至小，使和業(yè)務(wù)機(jī)會(huì)增大。
內(nèi)容章節(jié)
ISO/IEC17799-2000包含了127個(gè)安全控制措施來幫助組織識(shí)別在運(yùn)做過程中對(duì)信息安全有影響的元素，組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用，或者增加其他附加控制。國際標(biāo)準(zhǔn)化組織（ISO）在2005年對(duì)ISO 17799進(jìn)行了修訂，修訂后的標(biāo)準(zhǔn)作為ISO 27000標(biāo)準(zhǔn)族的部分——ISO/IEC 27001，新標(biāo)準(zhǔn)去掉9點(diǎn)控制措施，新增17點(diǎn)控制措施，并重組部分控制措施而新增一章，重組部分控制措施，關(guān)聯(lián)性邏輯性更好，更適合應(yīng)用；并修改了部分控制措施措辭。修改后的標(biāo)準(zhǔn)包括11個(gè)章節(jié)：
1）安全策略。信息安全方針，為信息安全提供管理指引和支持，并定期評(píng)審。
2）信息安全的組織。建立信息安全管理組織體系，在內(nèi)部開展和控制信息安全的實(shí)施。
3）資產(chǎn)管理。核查所有信息資產(chǎn)，做好信息分類，確保信息資產(chǎn)受到適當(dāng)程度的保護(hù)。
4）人力資源安全。確保所有員工，合同方和第三方了解信息安全威脅和相關(guān)事宜以及各自的責(zé)任，義務(wù)，以減少人為差錯(cuò)，盜竊，欺詐或誤用設(shè)施的風(fēng)險(xiǎn)。
5）物理和環(huán)境安全。定義安全區(qū)域，防止對(duì)辦公場所和信息的未授權(quán)訪問，破壞和干擾；保護(hù)設(shè)備的安全，防止信息資產(chǎn)的丟失，損壞或被盜，以及對(duì)企業(yè)業(yè)務(wù)的干擾；同時(shí)，還要做好一般控制，防止信息和信息處理設(shè)施的損壞和被盜。
6）通信和操作管理。制定操作規(guī)程和職責(zé)，確保信息處理設(shè)施的正確和安全操作；建立系統(tǒng)規(guī)劃和驗(yàn)收準(zhǔn)則，將系統(tǒng)失效的風(fēng)險(xiǎn)降低；防范惡意代碼和移動(dòng)代碼，保護(hù)軟件和信息的完整性；做好信息備份和網(wǎng)絡(luò)安全管理，確保信息在網(wǎng)絡(luò)中的安全，確保其支持性基礎(chǔ)設(shè)施得到保護(hù)；建立媒體處置和安全的規(guī)程，防止資產(chǎn)損壞和業(yè)務(wù)活動(dòng)的中斷；防止信息和軟件在組織之間交換時(shí)丟失，修改或誤用。
7）訪問控制。制定訪問控制策略，避免信息系統(tǒng)的非授權(quán)訪問，并讓用戶了解其職責(zé)和義務(wù)，包括網(wǎng)絡(luò)訪問控制，操作系統(tǒng)訪問控制，應(yīng)用系統(tǒng)和信息訪問控制，監(jiān)視系統(tǒng)訪問和使用，定期檢測(cè)未授權(quán)的活動(dòng)；當(dāng)使用移動(dòng)辦公和遠(yuǎn)程控制時(shí)，也要確保信息安全。
8）系統(tǒng)采集、開發(fā)和維護(hù)。標(biāo)示系統(tǒng)的安全要求，確保安全成為信息系統(tǒng)的內(nèi)置部分，控制應(yīng)用系統(tǒng)的安全，防止應(yīng)用系統(tǒng)中用戶數(shù)據(jù)的丟失，被修改或誤用；通過加密手段保護(hù)信息的保密性，真實(shí)性和完整性；控制對(duì)系統(tǒng)文件的訪問，確保系統(tǒng)文檔，源程序代碼的安全；嚴(yán)格控制開發(fā)和支持過程，維護(hù)應(yīng)用系統(tǒng)軟件和信息安全。
9）信息安全事故管理。報(bào)告信息安全事件和弱點(diǎn)，及時(shí)采取糾正措施，確保使用持續(xù)有效的方法管理信息安全事故，并確保及時(shí)修復(fù)。
10）業(yè)務(wù)連續(xù)性管理。目的是為減少業(yè)務(wù)活動(dòng)的中斷，是關(guān)鍵業(yè)務(wù)過程免受主要故障或天災(zāi)的影響，并確保及時(shí)恢復(fù)。
11）符合性。信息系統(tǒng)的設(shè)計(jì)，操作，使用過程和管理要符合法律法規(guī)的要求，符合組織安全方針和標(biāo)準(zhǔn)，還要控制系統(tǒng)審計(jì)，使信息審核過程的效力增加，干擾小化。

查看全部介紹