◆ORIGO chứng nhận quốc tế ◆
◆Sanwei International
Certification Ltd◆
Email.:salestw.origo@gmail.com
Chất lượng dịch vụ : Chuyên nghiệp, công bằng và công chính
Thái độ làm việc.: chính trực, nghiêm ngặt, tận tình
I. Giới thiệu Chứng nhận:
Hệ thống Quản lý bảo mật thông tin ISO / IEC27001, với tiền thân là
tiêu chuẩn BS7799 của Anh, mà trong tháng 2 năm 1995 do Hiệp hội tiêu chuẩn Anh
(BSI) đề ra, và sửa đổi vào tháng 5/ 1995 mà hoàn thành.
BSI năm 1999 đã sửa đổi tiêu chuẩn. BS7799 được chia thành hai phần: BS7799-1,
thông tin quản lý bảo mật thực hiện các quy định, BS7799-2 quy phạm về hệ
thống quản lý an ninh thông tin.
Phần đầu tiên mang đến khuyến nghị cho việc quản lý an ninh thông tin, chịu
trách nhiệm vận hành của tổ chức, thực hiện hoặc duy trì sử dụng an toàn nhân
viên ; phần thứ hai mô tả việc thành lập, thực hiện và tốc độ của hệ thống quản
lý an ninh thông tin (ISMS) yêu cầu, phù hợp với các yêu cầu quy định của tổ chức
độc lập cần phải thực hiện các yêu cầu về kiểm soát an toàn.
II. Lợi ích của ISO27000:
1, Thông qua xác định, đánh giá và kiểm soát rủi ro, đảm bảo tính bền vững và khả năng
kinh doanh.
2, Giảm thiểu các vi phạm hợp đồng và vi phạm trực tiếp các yêu cầu pháp luật
và quy định gây ra bởi trách nhiệm.
3, Bằng cách tuân thủ các tiêu chuẩn quốc tế để nâng cao sức cạnh tranh của
doanh nghiệp, nâng cao hình ảnh công ty.
4, Xác định rõ ràng các giao diện thông tin nội bộ và bên ngoài của tất cả các
tổ chức mục tiêu: Chú ý phòng ngừa sử dụng sai mục đích và mất dữ liệu.
5, Thiết lập việc sử dụng các công cụ an toàn.
6, Phòng ngừa sự mất mát bí quyết kỹ thuật.
7, Trong nội bộ tổ chức nâng cao nhận thức về an toàn.
8, Có thể được sử dụng như là bằng chứng của kiểm toán kế toán công.
III. An toàn thông tin và Luật pháp quy định:
Có hai động lực
chính trong ngành cho chứng nhận ISO27001: một là mối đe dọa ngày càng tăng về
an toàn thông tin, còn
một là yêu cầu về các luật và quy định về bảo vệ thông tin ngày càng tăng.
Về bản chất, mối đe dọa đối với an ninh thông tin là tính toàn cầu hóa. Nói
chung, nó sẽ tỏa ra không khác biệt với mọi tổ chức và cá nhân sở hữu sử dụng
thông tin điện tử. Mối đe dọa này được tự động tạo và phát hành trong môi trường
Internet. Vấn đề nghiêm trọng hơn là các hình thức nguy hiểm khác cũng đe doạ đến
an ninh dữ liệu, bao gồm hàng loạt các mối nguy hiểm từ xâm phạm bên ngoài đến
phá hoại nội bộ và trộm cắp.
Trong thập kỷ qua, được xây dựng xung quanh hệ thống pháp luật thông tin và bảo
mật dữ liệu, từ không đến có, không ngừng phát triển, trong đó đặc biệt bảo vệ
các dữ liệu cá nhân, có những quy định để bảo vệ chống lại tài chính doanh nghiệp,
hoạt động kinh doanh và hệ thống quản lý rủi ro được thành lập để bảo vệ những
vấn đề này.
Một hệ thống quản lý an ninh thông tin được xây dựng tốt sẽ cung cấp hướng dẫn
triển khai thực tiễn tốt nhất. Hiện nay, việc thành lập một hệ thống quản lý
như vậy dần dần trở thành một điều kiện cần thiết cho rất nhiều dự án tuân thủ
cùng một lúc, là nhu cầu phổ biến cho việc chứng nhận hệ thống quản lý đã dần dần
tạo thành tổ chức khác nhau (bao gồm cả cơ quan chính phủ) , giấy chứng nhận
này có thể mang lại những tiềm năng quan trọng đối với hợp đồng thương mại.
IV. Yêu cầu chứng nhận:
Tiêu chuẩn
ISO27001 là vì các tiêu chuẩn quản lý khác, chẳng hạn như ISO9000 và ISO14001
tương thích hỗ trợ nhau mà thiết lập nên , hệ thống số hiệu tiêu chuẩn
này và yêu cầu quản lý tập tin được thiết kế, là nhằm cung cấp khả
năng tương thích tốt, tạo điều kiện cho các tổ chức để xây dựng Hệ thống quản
lý như vậy: trong phạm vi lớn nhất có thể tích hợp vào các tổ chức đang sử
dụng bất kỳ hệ thống quản lý nào khác.
Nói chung, các tổ chức thường sử dụng các dịch vụ chứng nhận ISO 27001 để cung
cấp các dịch vụ chứng nhận cho chứng nhận ISO9000 hoặc các chứng nhận hệ thống
quản lý khác. Chính vì lý do này kinh nghiệm trong kiểm soát chất lượng đóng
vai trò quyết định trong việc thành lập hệ thống ISMS.
Tuy nhiên, một điều cần lưu ý là một tổ chức không có quyền sở hữu và sử dụng bất
kỳ hình thức quản lý nào trước đây không có nghĩa là tổ chức đó không thể chứng
nhận ISO27001. Trong những trường hợp như vậy, tổ chức nên chọn một cơ quan chứng
nhận thích hợp cho hệ thống quản lý của mình để cung cấp các dịch vụ chứng nhận
vì lợi ích kinh tế.
Cơ quan chứng nhận phải được một cơ quan chứng nhận quốc gia uỷ quyền,tổ chức
chứng nhận mới có thể cung cấp dịch vụ chứng nhận và cấp giấy chứng nhận. Hầu hết
các quốc gia đều có cơ quan kiểm định quốc gia (ví dụ: UKAS Anh), bất kỳ cơ
quan nào được cơ quan này ủy quyền chứng nhận ISMS đều được ghi nhận.
V. Xác nhận lệ phí kiểm toán và thời gian:
Ngoài các đầu
vào của chính tổ chức, lệ phí kiểm toán chứng nhận ISO 27001 chủ yếu được thể hiện
trong việc mời các tổ chức chứng nhận bên thứ ba và kiểm toán viên.
Sau khi áp dụng cho các tổ chức chứng nhận, cơ quan chứng nhận sẽ tổ chức một sự
hiểu biết sơ bộ về hiện trạng, xác định phạm vi của cuộc kiểm toán, đề ra báo
giá kiểm toán. Báo giá của tổ chức chứng nhận thường dựa trên thời gian đầu tư
và nhân viên quyết định, các yếu tố quyết định bao gồm:
1, Số lượng nhân viên kiểm toán tổ chức;
2, Lượng thông tin trong phạm vi kiểm toán.
3, Số lượng địa điểm.
4, Quan hệ của tổ chức và thế giới bên ngoài;
5, Sự phức tạp của việc tổ chức IT;
6, Loại hình tổ chức và bản chất kinh doanh.
Ngoài các vấn đề về chi phí, các tổ chức cũng thường quan tâm đến chu kỳ kiểm
toán chứng nhận.
Thông thường, từ khi khởi động bắt đầu dự án ISMS, đến khi kiểm toán cuối cùng được thông
qua, phải mất ít nhất
sáu tháng (không bao gồm thời gian để nhận giấy chứng nhận).
Đối với nhiều tổ chức xác định thực hiện các chương trình chứng nhận ISO 27001
, nên sớm tiến hành những kế hoạch cần thiết.
---------------------------------------------------------------------------------------------
1. Certification Introduction:
Practical Rules for the Management of Information Security ISO / IEC 27001,
formerly known as BS7799 in the United Kingdom, was proposed by the British
Standards Institution (BSI) in February 1995 and revised in May 1995.
BSI in 1999 revised the standard. BS7799 is divided into two parts: BS7799-1,
information security management implementation rules BS7799-2, information
security management system specification.
The first part gives advice on information security management for those
responsible for starting, implementing or maintaining security in their
organization. The second section describes the requirements for establishing,
implementing and archiving ISMS, Organizational Needs The requirements for
safety control should be implemented.
2.ISO27000 benefits:
1, By defining, assessing and controlling risks, to ensure the sustainability
and ability of the business.
2, to reduce due to contract violations and direct violations of legal and
regulatory requirements caused by the responsibility.
3, by compliance with international standards to enhance the competitiveness of
enterprises, enhance corporate image.
4, Clearly define the internal and external information interfaces of all
organizations. Goals: Beware of misuse and loss of data.
5, establish the use of safety tools.
6, Beware of the loss of know-how.
7, within the organization to enhance safety awareness.
8, can be used as evidence of public accounting audit.
3. Information Security and Laws and Regulations:
There are two key drivers in the industry for ISO27001 certification: one is
the growing threat of information security and the other is the demand for
ever-growing information protection laws and regulations.
In essence, the threat to information security is global. In general, it will
radiate without distinction to every organization and individual that owns and
uses electronic information. This threat is automatically generated and
released in the Internet environment. The more serious problem is that other
forms of danger also threaten data security all day, including a series of
dangers ranging from external aggression to internal destruction and theft.
In the past ten years, the laws and regulations systems that have been
established around information and data security issues have grown from nothing
to include the protection of personal data and the protection of corporate
finance, operations and risk management systems questionable.
A well-established system of information security management should provide
guidance on best practice deployment. At present, the establishment of such a
management system is gradually becoming a prerequisite for many compliance
projects, and at the same time, certification of the management system has
gradually become a hot demand of various organizations (including government
departments), and the certification can bring them important Potential
commercial contract.
4. Certification requirements:
The ISO 27001 standard is designed to be compatible with other management
standards such as ISO 9000 and ISO 14001. The design of the numbering system
and file management requirements in this standard was designed to provide good
compatibility so that organizations can set up Such a management system: to the
greatest extent able to integrate into the organization is using any other
management system.
In general, organizations typically use ISO 27001 certification services to
provide certification services for their ISO9000 certification or other
management system certification. It is precisely for this reason that
experience in quality control plays a decisive role in the establishment of the
ISMS system.
However, one thing to note is that an organization without prior ownership and
use of any form of management system does not mean that the organization can
not ISO27001 certification. Under such circumstances, the organization should
choose a suitable certification body for its management system to provide
certification services in consideration of economic interests.
The certification body must be authorized by a national accreditation body to
provide the certification organization with the certification service and issue
the certification. Most countries have their own national accreditation body
(for example: UKAS), any body authorized by the agency to ISMS certification
are documented.
5. Certification audit fees and time:
In addition to the organization's own inputs, the ISO 27001 certification audit
fees are mainly reflected in the hiring of third-party certification bodies and
auditors.
After the organization submits the application to the certification body, the
certification body will initially understand the status quo of the
organization, determine the scope of the audit, and propose the audit
quotation. The quotation of the certification body is usually based on the time
and personnel invested in determining the factors include:
1, the number of employees audited organizations;
2, the amount of information included in the scope of the audit;
3, the number of places
4, the organization and the outside world;
5, the complexity of organizing IT;
6, the type of organization and business nature.
In addition to cost issues, the certification audit cycle is usually also more
concerned about the organization.
In general, it takes at least six months (excluding the time to obtain a
certificate) from the start of the project to start ISMS construction until it
is finally approved. For many organizations that are determined to implement
the ISO 27001 certification program because of external drivers, planning ahead
is necessary.
---------------------------------------------------------------------------------------------
1.認證簡介:
資訊安全管理實用規則ISO/IEC27001的前身為英國的BS7799標準,該標準由英國標準協會(BSI)於1995年2月提出,並於1995年5月修訂而成的。
1999年BSI重新修改了該標準。BS7799分為兩個部分:BS7799-1,資訊安全管理實施規則BS7799-2,資訊安全管理體系規範。
第一部分對資訊安全管理給出建議,供負責在其組織啟動、實施或維護安全的人員使用;第二部分說明了建立、實施和檔化資訊安全管理體係(ISMS)的要求,規定了根據獨立組織的需要應實施安全控製的要求。
2.ISO27000的效益:
1、通過定義、評估和控製風險,確保經營的持續性和能力。
2、減少由於合同違規行為以及直接觸犯法律法規要求所造成的責任。
3、通過遵守國際標準提高企業競爭能力,提升企業形象。
4、明確定義所有組織的內部和外部的資訊介麵目標:謹防資料的誤用和丟失。
5、建立安全工具使用方針。
6、謹防技術訣竅的丟失。
7、在組織內部增強安全意識。
8、可作為公共會計審計的證據。
3.資訊安全和法律法規:
業內人士對ISO27001認證趨之若鶩,這其中有兩個關鍵性的驅動因素:一是日益嚴峻的資訊安全威脅,二是不斷增長的資訊保護相關法規的需求。
本質上說,資訊安全威脅是全球化的。一般來說,它將毫無差別地輻射到每一個擁有、使用電子資訊的機構和個人。這種威脅在Internet的環境中自動生成並釋放。更嚴重的問題是,其他各種形式的危險也在整日威脅資料安全,包括從外部攻擊行為到內部破壞、偷盜等一系列危險。
過去的十年內,圍繞資訊和資料安全問題建立起來的法律法規體係從無到有、不斷壯大,其中包括專門針對個人資料保護問題的,也有針對企業財政、運營和風險管理體係建立的法規保障問題的。
一套正式規範的資訊安全管理體係應當可以提供最佳實踐部署指導。目前,建立這樣的管理體係逐漸成為諸多合規專案的必要條件,與此同時,針對該管理體係的認證逐漸成為各種組織(包括政府部門)的熱門需求,這份認證可以為他們帶來重要的潛在商業合同。
4.認證要求:
ISO27001標準是為了與其他管理標準,比如ISO9000和ISO14001等相互相容而設計的,這一標準中的編號係統和檔管理需求的設計初衷,就是為了提供良好的相容性,使得組織可以建立起這樣一套管理體係:能夠在最大程度上融入這個組織正在使用的其他任何管理體係。
一般來說,組織通常會使用為其ISO9000認證或者其他管理體係認證提供認證服務的機構,來提供ISO27001認證服務。正是因為這個緣故,在ISMS體係建立的過程中,品質管製的經驗舉足輕重。
但是有一點需要注意,一個組織如果沒有事先擁有並使用任何形式的管理體係,並不意味著該組織不能進行ISO27001認證。這種情況下,該組織就應當從經濟利益考慮,選擇一個合適的管理體係的認證機構來提供認證服務。
認證機構必須得到一個國家鑒定機構的委託授權,才能為認證組織提供認證服務,並發放認證證書。大多數國家都有自己的國家鑒定機構(比如:英國UKAS),任何獲得該機構授權進行ISMS認證的機構均記錄在案。
5.認證審核費用及時間:
除了組織自身投入之外,ISO27001 認證審核費用主要體現在聘請第三方認證機構及審核員方面了。
在組織向認證機構提出申請之後,認證機構會初步瞭解組織現狀,確定審核範圍,提出審核報價。認證機構的報價通常是根據其投入的時間和人員來確定的,決定因素包括:
1、受審核組織的員工數量;
2、納入審核範圍的信息量;
3、場所數量;
4、組織與外界的關聯;
5、組織 IT 的複雜性;
6、組織類型和業務性質等。
除了費用問題,認證審核的週期通常也是組織比較關心的。
一般來說,從組織啟動 ISMS建設專案開始,到最終通過審核,至少要有半年時間(不包括獲取證書的時間)。對於很多因為外部驅動力而決心實施 ISO27001 認證專案的組織來說,提早進行規劃是必要的。