青山四纪ISO20000/ISO27001管理体系认证顺利启动
2021年4月,安赛咨询签约青山四纪,为青山四纪公司提供ISO20000、ISO27001管理体系认证咨询与培训服务。
什么是ISO27001信息安全管理体系
ISO27001信息安全管理体系,即Information Security Management System(简称ISMS),是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。
BS7799-2是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系;体系一旦建立,组织应按体系的规定要求进行运作,保持体系运行的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理方法、控制目标与控制措施、信息资产需要保护的程度等内容。
ISO27001标准的主要内容
ISO/IEC27001对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础,并为组织之间的交往提供信任。
标准指出“象其他重要业务资产一样,信息也是一种资产”。它对一个组织具有价值,因此需要加以合适地保护。信息安全防止信息受到的各种威胁,以确保业务连续性,使业务受到损害的风险减至最小,使投资回报和业务机会最大。
信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制,以确保满足该组织的特定安全目标。
实施ISO27001认证的效益
1、通过定义、评估和控制风险,确保经营的持续性和能力
2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任
3、通过遵守国际标准提高企业竞争能力,提升企业形象
4、明确定义所有组织的内部和外部的信息接口目标:谨防数据的误用和丢失
5、建立安全工具使用方针
6、谨防技术诀窍的丢失
7、在组织内部增强安全意识
8、可作为公共会计审计的证据
ISO20000标准介绍
ISO20000是由国际标准化组织(ISO)和国际电工委员会(IEC)共同发布的关于IT服务的标准,通常也写成ISO/IEC 20000形式。
ISO20000标准包含以下两部分:
ISO20000-1 IT服务管理第1部分:服务管理规范
ISO20000-2 IT服务管理第2部分:服务管理最佳实践
第一部分定义了服务管理的13个流程,是建立、实施、保持IT服务管理及进行认证的基础。
第二部分是IT服务管理流程的最佳实践指南。它们给组织提供了一套综合方法,以加强“怎样提高服务质量”的理解,并为实施服务改进和通过ISO20000-2审核提供指导。
实施ISO20000标准的好处
应用ISO20000能够使组织建立起一套IT服务管理的最佳流程,从而系统地、有序地提供管理服务,为组织带来以下益处:
1、 有效地管理服务以满足客户和业务需求
2、 获得权威认证机构颁发的证书,能够提升市场竞争优势
3、 建立透明、优化的组织架构,降低IT运营成本
4、 将服务管理与整体业务流程相结合
5、 对服务管理进行测评及控制
6、 建立清晰的、集中的关于服务流程和常规实践的文件系统
7、 使员工提高对服务管理责任的理解
8、 定期评估服务管理流程,维护和改进其有效性
9、 有效的业务持续性管理
10、 广泛认可的IT服务管理实践
11、 易于和其他管理体系整合,如ISO9001、ISO27001等
