一、ISO27001认证范围确认规则:
1.营业执照和有资质许可内的;
2.近一年内有开展相关业务的(业绩合同);
3.公司从事有相关业务的人员(如软件开发范围需要有软件开发能力的人员);
4.具备开展相关业务所需要的设施、环境、工具(包含软硬件)等条件。
二、ISO27001信息安全管理体系认证所依据的标准:
1、GB/T 22080-2016 IDT ISO/IEC27001:2013 信息技术-安全技术-信息安全管理体系要求
2、ISO/IEC 27000 信息技术—安全技术—信息安全管理体系 概述和词汇
三、 ISO27001信息安全管理体系需确认项:
1.是否独立的软件开发;
2.是否统一使用企业邮箱;
3.是否有服务器;
4.是否被托管服务器;
5.是否有公司网站;
6.是否涉及远程办公;
7.是否使用管理系统(ERP、OA等)。
四、建立ISO27001信息安全管理体系的过程如下:
公司从以下几方面入手建立信息安全管理体系:
根据本公司所从事的业务、性质、办公地点、各种信息资产、拥有技术的特点确定信息安全管理体系的范围。
根据员工的信息安全意识和信息安全在本公司业务中的重要程度确定信息安全管理体系的方针。
定义了系统化的风险评估的方法。
1)识别风险
在信息安全管理体系范围内,识别资产及其责任人;
识别资产面临的威胁;
识别可能被威胁利用的脆弱性;
识别保密性、完整性和可用性对资产造成的影响程度;
识别资产面临的风险。
2)分析和评估风险
评估安全故障对业务造成的损害,充分考虑资产失去保密性、完整性和可用性的潜在后果;
评估与这些资产相关的主要威胁、脆弱点和造成此类事故发生的现实可能性和现有的控制措施;
估算风险的等级;
决定风险的可接受程度,进而决定是否需要采取措施对风险进行控制。
3)识别和评价风险处理:
实施适当的控制措施;
规避风险,采取有效的控制措施避免风险的发生;
接受风险,在一定程度上有意识、有目的地接受风险;
风险转移,转移相关业务风险到其他方面。
4)选择风险处理的控制目标和控制方式:从《ISO 27001:2013信息安全管理体系-要求》的“附件A”中选择合适的控制目标和控制措施,以满足风险评估和风险处置过程所识别的要求,根据风险评估和风险处理过程的结果进行适当的调整。
5)适用性声明:公司对所选择的控制目标和控制措施以及被选择的原因,在《适用性声明》中进行描述。
6)对残余风险获得信息安全管理者代表批准。
