企業(yè)如何建立ISO27001體系？

發(fā)布日期：2023-03-29 瀏覽次數(shù)：0次

企業(yè)如何建立ISO27001體系？(0)

隨著網(wǎng)絡(luò)的高速發(fā)展，近年來，我們的生活越來越信息化，信息技術(shù)越來越接近于我們的生活。當然，任何事情的發(fā)展都是帶有兩面性的。在信息化改變生活的同時，信息安全隱患也是日益突出，如何保障信息安全已成為企業(yè)不得不去關(guān)注的問題。

據(jù)統(tǒng)計，世界上每分鐘就有2個企業(yè)因為信息安全問題倒閉，而在所有的信息安全事故中，只有20%-30%是因為黑客入侵或其他外部原因造成的，70%-80%是由于內(nèi)部員工的疏忽或有意泄露造成的；同時78%的企業(yè)數(shù)據(jù)泄露是來自內(nèi)部員工的不規(guī)范操作。因此企業(yè)有必要建立信息安全整體解決方案，保護信息化進程健康、有序、可持續(xù)發(fā)展。

目前，此標準在金融行業(yè)、制造業(yè)、航空運輸、互聯(lián)網(wǎng)行業(yè)等等各個領(lǐng)域都有良好的最佳實踐成功案例。在信息安全管理方面，ISO27001已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標準。

1SO27001信息安全管理體系的搭建

首先是確立管理體系適用的范圍；需要覆蓋公司的各個職能部門，也可以覆蓋公司信息系統(tǒng)相連的外部機構(gòu)，如供應(yīng)商、合作伙伴等。同時從系統(tǒng)層次考慮覆蓋網(wǎng)絡(luò)系統(tǒng)、服務(wù)器平臺系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)、安全管理以及支撐信息系統(tǒng)的場所和所處的周邊環(huán)境及場所內(nèi)保障計算機系統(tǒng)正常運行的設(shè)施設(shè)備等。

安全風險評估；主要包括企業(yè)安全管理類的評估和企業(yè)安全技術(shù)類的評估。

安全管理類評估的內(nèi)容包括ISO27001信息安全管理體系相關(guān)的11個方面，包括信息安全策略、安全組織、資產(chǎn)分類與控制、人員安全、物理和環(huán)境安全、通信和操作管理、訪問控制、系統(tǒng)開發(fā)與維護、安全事件管理、業(yè)務(wù)連續(xù)性管理、符合性。

安全技術(shù)類評估是基于資產(chǎn)安全等級的分類，通過對信息設(shè)備進行的安全掃描、安全設(shè)備的配置，檢查分析現(xiàn)有網(wǎng)絡(luò)設(shè)備、服務(wù)器系統(tǒng)、終端、網(wǎng)絡(luò)安全架構(gòu)的安全現(xiàn)狀和存在的弱點，為安全加固提供依據(jù)。

規(guī)劃體系建設(shè)方案；規(guī)劃體系建設(shè)方案是在風險評估的基礎(chǔ)上，對企業(yè)中存在的安全風險提出安全建議，增強系統(tǒng)的安全性和抗攻擊性。

信息安全體系的建設(shè)與運行；信息安全體系是在信息安全模型與企業(yè)信息化的基礎(chǔ)上建立的，體系應(yīng)該兼顧內(nèi)外安全的功能。規(guī)劃信息安全技術(shù)可以從安全基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等四個方面進行規(guī)劃。

改進；ISO27001認證標準的信息安全管理體系文件編制完成以后，按照文件控制的要求進行審核批準，向各部門發(fā)放先行有效的體系文件，保留體系運行過程中的記錄，并定期進行內(nèi)審和管理評審，對不符合或潛在不符合項進行糾正和預(yù)防措施，不斷改進信息安全管理體系。

1SO27001信息安全管理體系認證前的準備

1、申請方的信息安全管理體系已按27001標準的要求建立，并實施運行3個月以上。

2、企業(yè)營業(yè)執(zhí)照和相關(guān)資質(zhì)。

3、信息安全管理體系文件、運行記錄。

3、至少完成一次內(nèi)部審核，并進行了管理評審。

4、信息安全管理體系運行期間及建立體系前的一年內(nèi)未受到主管部門行政處罰。

ISO27001認證補貼政策

近年來，國家為推進企業(yè)信息化建設(shè)，加強信息安全管理，促進企業(yè)高質(zhì)量發(fā)展，各地區(qū)陸續(xù)出臺了相應(yīng)的獎勵補貼措施。

序號	地區(qū)	政策部分內(nèi)容	生效日期
1	江蘇蘇州相城	對通過iso27001信息安全管理體系一次性獎勵5萬元經(jīng)信局。	本政策由蘇州市經(jīng)濟和信息化委員會、蘇州市財政局負責解釋，自發(fā)布之日起實施
2	江蘇揚州經(jīng)開	對新通過ISO27001信息安全管理體系的企業(yè)2萬元獎勵。	自發(fā)布之日2021年4月30日起施行，有效期五年
3	江蘇宿遷沐陽	通過信息安全管理體系認證的企業(yè)獎勵5萬元。	通過ISO27001、SAS70等認證的企業(yè)，給予每個認證5萬元獎勵(包括對上爭取的上級部門補貼，不重復(fù)享受)
4	山東日照	對新通過信息安全管理體系認證的企業(yè)給予不超過10萬元一次性獎勵。	2020年7月28日頒發(fā)，具體截止時間沒有公布
5	廣東深圳	對服務(wù)外包企業(yè)信息安全管理認證及認證的系列維護、升級費用，給予不超過實際發(fā)生額50%、總額不超過50萬元的支持	本實施細則自2019年7月11日起實施，有效期5年
6	浙江寧波	信息安全資質(zhì)認證（CCRC、ISO20000、ISO27001）按每個5萬元的標準獎勵，ITSS認證、涉密系統(tǒng)集成按每個10萬元的標準獎勵，每家企業(yè)每年最高獎勵額度不超過30萬元，依據(jù)相應(yīng)證書直接獎補。	申報截止時間：23年4月10日24時
7	浙江杭州臨平	對通過信息安全管理體系權(quán)威機構(gòu)認證的企業(yè)獎勵5萬元。	本文件自2021年11月22日起實行，有效期至2023年12月31日
8	浙江金華	對首次獲得IS027001信息安全管理體系認證的企業(yè)，給予認證費80%的補助，總額不超過10萬元；獲證后連續(xù)五年每年給予證書維護費50%補助。	本管理辦法從2020年7月1日起施行，《金華市商務(wù)局金華市財政局關(guān)于印發(fā)金華市區(qū)促進國際服務(wù)貿(mào)易發(fā)展實施細則的通知》（金商務(wù)發(fā)〔2017〕32號）同時廢止
9	浙江臺州臨海	首次通過IT服務(wù)管理體系ISO20000、信息安全管理體系ISO27001/BS7799、服務(wù)提供商環(huán)境安全性SAS70等認證的企業(yè)，經(jīng)認定，給予實際認證費用的50%、不超過15萬元的獎勵。	2023年3月6日發(fā)布，本實施意見自發(fā)布之日起施行，暫定試行兩年
10	浙江湖州吳興	通過信息安全管理體系認證，一次性獎勵5萬元。	本意見自公布之日起施行，適用于2021年1月1日起符合條件的對象
11	浙江湖州長興	對首次通過信息安全管理體系認證的企業(yè)，獎勵首次認證費用的50%,最高不超過10萬元。	本意見自公布之日起施行，適用于2021年1月1日起符合條件的對象
12	上海青浦	對首次獲得信息安全管理體系認證的企業(yè)給予一次性10萬元獎勵。	本實施辦法自 2019 年 1 月 1 日起施行，有效期至 2023 年12月31日止
13	湖北武漢江漢	對通過IS027001信息安全管理體系企業(yè)一次性獎勵10萬元。	自印發(fā)之日起試行，以后年度根據(jù)政策執(zhí)行評估效果報區(qū)政府研究延長
14	重慶南岸	對通過IS027001信息安全管理體系認證的企業(yè)，給予一次性20萬元獎勵。	2020年3月27日印發(fā)，具體截止時間待定
15	貴州	對首次通過《信息安全管理體系標準》(ISO 27001)認證的企業(yè),給予10萬元的獎勵。	本措施自印發(fā)之日起執(zhí)行,執(zhí)行期限至2025年12月31日
16	廣西柳州柳東新區(qū)	對通過IS027001信息安全管理體系認證的企業(yè)給予實際認證費用的總額不超過10萬元獎勵。	2018年9月28日印發(fā)，截止日期未定
17	陜西西安高新	對首次通過ISO27001(信息安全管理體系)認證的軟件企業(yè),一次性給予認證咨詢費用50%獎勵。	自細則公布之日2021年06月28日起實施
18	四川成都成華	對獲得ISO27001信息安全管理體系給予1萬元獎勵。	本政策自2022年7月23日后開始實施，有效期3年
19	安徽馬鞍山	對通過IS027001信息安全管理體系認證的企業(yè)給予實際認證費用的50%,總額不超過50萬元獎勵。	本政策自發(fā)布之日起施行
20	北京	支持方向包括：管理體系認證，對于符合支持內(nèi)容且支出金額大于1萬元（含1萬元）的項目予以支持，支持比例一般為50%，每個項目最高支持限額5萬元，每個企業(yè)項目支持金額最高不超過30萬元。	發(fā)布時間：2022年7月7日，現(xiàn)行有效