信息安全管理體系

信息安全管理體系信息安全管理體系(ISMS)FAQ信息安全管理體系認證的標準是什么,信息安全管理體系(InformationSecurityManagementSystem簡稱ISMS)的概念最初來源于英國標準學(xué)會制定的BS7799標準，并伴隨著其作為國際標準的發(fā)布和普及而被廣泛地接受。ISO/IECJTC1SC27/WG1(國際標準化組織/國際電工委員會信息技術(shù)委員會安全技術(shù)分委員會/第一工作組)是制定和修訂ISMS標準的國際組織。ISO/IEC27001:2005(《信息安全管理體系要求》)是ISMS認證所采用的標準。目前我國已經(jīng)將其等同轉(zhuǎn)化為中國國家標準GB/T22080-2008/ISO/IEC27001:2005。ISO/IEC27000族的成員標準主要有哪些,ISO/IEC27000族是國際標準化組織專門為ISMS預(yù)留下來的一系列相關(guān)標準的總稱，其包含的成員標準有:ISO/IEC 27000 ISMS概述和術(shù)語ISISO/IEC 27001 信息安全管理體系要求ISISO/IEC 27002 信息安全管理體系實用規(guī)則 ISISO/IEC 27003 信息安全管理體系實施指南 FDISISO/IEC 27004 信息安全管理度量FDISISO/IEC 27005 信息安全風(fēng)險管理ISISO/IEC27006ISMS認證機構(gòu)的認可要求ISISO/IEC27007信息安全管理體系審核指南CDISO/IEC27008ISMS控制措施審核員指南WDISO/IEC27010部門間通信的信息安全管理NPISO/IEC27011電信業(yè)信息安全管理指南IS??目前，國際標準化組織（即：ISO）正在不斷地擴充和完善ISMS系列標準，使之成為由多個成員標準組成的標準族。三、中國信息安全認證中心開展ISMS認證的資質(zhì)有哪些，根據(jù)《中華人民共和國認證認可條例》規(guī)定，在我國境內(nèi)開展認證業(yè)務(wù)須經(jīng)國家主管部門??國家認證認可監(jiān)督管理委員會批準并頒發(fā)資質(zhì)證明。中國信息安全認證中心是經(jīng)國家認證認可監(jiān)督管理委員會批準并頒發(fā)資質(zhì)證明的可從事信息安全管理體系認證的正式機構(gòu)。認證機構(gòu)的信息安全管理體系認證資質(zhì)可查詢?nèi)缦戮W(wǎng)址:同時，中國信息安全認證中心是國內(nèi)首家通過中國合格評定國家認可委員會能力認可的ISMS認證機構(gòu)。四、信息安全管理體系證書是否實現(xiàn)了國際互認,.信息安全管理體系（ISMS）認證是一種自愿的、基于市場需求的第三方認證，其作用是通過認證向客戶、合作伙伴等相關(guān)方證明組織在信息安全管理方面的水平和能力，以提供信任和信心。實現(xiàn)ISMS國際互認的前提和條件是統(tǒng)一認證標準。目前，各國認可機構(gòu)均依據(jù)本國認證認可制度對申請認可的認證機構(gòu)進行認可。在不同的國家認證認可制度下，通過認可的認證機構(gòu)頒發(fā)的信息安全管理體系認證證書，由于認證標準都是依據(jù)ISO/IEC27001:2005國際標準，其證書具有相同的效力。.國際認可論壇（IAF）作為有關(guān)國家認可機構(gòu)（包括中國CNAS，英國UKAS，美國ANAB，荷蘭RvA等）參加的多邊合作組織，其主要目標是協(xié)調(diào)各國認證認可制度，通過統(tǒng)一規(guī)范各成員單位的審核員資格要求、認證標準及管理體系認證機構(gòu)的評定和認證程序，使其在技術(shù)運作上保持一致，從而確保有效的國際互認。目前，我國已經(jīng)在質(zhì)量管理體系(QMS)、環(huán)境管理體系(EMS)兩個管理體系的認證證書與IAF的成員單位簽訂了互認協(xié)議。但是信息安全管理體系(ISMS)涉及到安全等敏感問題，各國的認可機構(gòu)都沒有在ISMS領(lǐng)域加入IAF，因此還沒有實現(xiàn)國際互認。嚴格說來，帶有CNAS、UKAS、ANAB等標志的ISMS認證證書都不屬于國際認證證書，均不具有國際互認性，獲得任何一家認證機構(gòu)頒發(fā)的證書都不能稱為獲得了國際認證。.中國合格評定國家認可中心(CNAS)作為IAF17個發(fā)起成員單位之一，承擔(dān)著眾多責(zé)任。目前CNAS作為主要協(xié)調(diào)單位，正積極組織開展信息安全管理體系國際互認工作，但各國簽署互認協(xié)議、加入IAF還有待時日。綜上所述，只有IAF中的各成員單位就ISMS簽署多邊互認協(xié)議，同時相關(guān)認證機構(gòu)被授權(quán)在所頒發(fā)的ISMS認證證書上加貼IAF標識后，該ISMS認證證書才具有國際互認性。五、ISO/IEC27000族標準中有哪些已轉(zhuǎn)化為中國國家標準,ISO/IEC27001:2005已等同轉(zhuǎn)化為中國國家標準GB/T22080-2008/ISO/IEC27001:2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》(2008-06-19發(fā)布，2008-11-01實施)ISO/IEC27002:2005已等同轉(zhuǎn)化為中國國家標準GB/T22081-2008/ISO/IEC27002:2005《信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則》(2008-06-19發(fā)布，2008-11-01實施)目前，全國信息安全標準化技術(shù)委員會(TC260)信息安全管理工作組(WG7)正在不斷推進信息安全管理體系國家標準的編制和轉(zhuǎn)化工作。六、建立信息安全管理體系對組織有什么好處,通過定期的監(jiān)督審核將確保組織的體系不斷地被監(jiān)督和改善，并以此作為增強信息安全性的依據(jù);通過第三方的認證能增強投資者及其他利益相關(guān)方的投資信心;通過認證能夠向政府及行業(yè)主管部門證明組織對相關(guān)法律法規(guī)的符合性;通過認證能保證和證明組織對信息安全的承諾;通過認證可改善組織的業(yè)績、拓展業(yè)務(wù)、消除不信任感。建立信息安全管理體系，能切實提高組織的信息安全管理水平，提高全員信息安全意識，降低信息安全風(fēng)險，保證信息的保密性、完整性和可用性。尤其是通過第三方的認證，更能向其他各方證明其信息安全管理能力，因此越來越多的組織建立信息安全管理體系。截止2009年9月，全球有5941個組織獲得了信息安全管理體系認證，并且這個數(shù)字正在快速地增長。七、中國信息安全認證中心在信息安全管理體系認證方面具有哪些優(yōu)勢,國家級的權(quán)威性中國信息安全認證中心是由八部委聯(lián)合授權(quán)成立，隸屬于國家質(zhì)檢總局的直屬事業(yè)單位，是國內(nèi)最具權(quán)威性的信息安全認證和培訓(xùn)機構(gòu)，是已獲得中國合格評定國家認可中心(CNAS)的認可評審并可在證書上加施CNAS認可標志的認證機構(gòu)。深厚的經(jīng)驗積淀在中國認證行業(yè)十幾年的歷史積累上應(yīng)運而生，具有豐富的管理經(jīng)驗。在對國內(nèi)外信息安全認證標準的理解和應(yīng)用方面的優(yōu)勢無可比擬:熟悉認證服務(wù)的各個環(huán)節(jié)，精通國內(nèi)外信息安全方面的標準和法律法規(guī);從事國際??國內(nèi)信息安全認證標準轉(zhuǎn)化;參與我國信息安全標準的編寫和制定;參與國家信息安全項目的開發(fā)。優(yōu)秀的人才隊伍國家科技進步一等獎獲得者;骨干員工選調(diào)自國家各相關(guān)部委，其中包括國家重點科研項目的負責(zé)人和主要參與者;技術(shù)骨干具有博士學(xué)歷，并入選“百千萬人才工程”。精良的技術(shù)力量精通國內(nèi)外最