|
引用第0楼fan8237150于2007-06-09 08:56发表的 企业自己能作信息安全管理体系认证吗? :
! B9 H5 r1 N- e1 g9 r* o; Z可以的。7 `6 i. T c- M' i" Y
; N* F; k9 i5 U4 u5 A
. d8 J$ i H! L6 c; K( m# S华虹NEC通过BS7799信息安全管理体系认证 (引用地址:http://www.dram.com.cn/home/newsintron.asp?id=12071)" l f8 Y" W+ J7 n( Z6 k3 L n; t& g
% s) d. ?0 w( Z" l, H; ]
1 d4 f2 D* ^' O
上海华虹NEC电子有限公司日前宣布,该公司通过BSI(British Standard Institution/英国标准协会)现场审核,并获UKAS(英国皇家认可委员会)认可的BS7799-2:2002信息安全管理体系证书。 9 c% {3 N6 {. h0 B9 X2 B5 t+ i
* O+ }' B7 m. X' _- ~2 m2 Z& c& n1 a5 v据介绍,通过申请BS7799的认证,华虹NEC从系统上提升和加强了公司本身及客户信息的安全度,特别是客户知识产权和商业秘密的安全性;强化了员工的信息安全意识,规范了信息安全行为。当遭遇信息安全侵害时,能够最大程度降低损失,并确保业务持续开展。华虹NEC已于2000年和2002年取得ISO9001和ISO14001的认证。 5 J- l, J7 H* T+ ~
" b) k, g c( g# p- Y* kBS7799是一个英国标准,但这一信息安全管理标准已经在许多国家被公布转化为国家标准,第一部分(实施细则)还被国际标准化组织转化成ISO标准,已经成为信息安全领域广泛接受的标准。BS7799标准为企业提供了一个启动、实施、维护、管理、改善信息安全的架构。通过建立BS7799信息安全管理体系,实施风险评估对信息资产进行分类,并采取控制措施来保证信息安全,从而达到保证企业持续发展的目的。
2 G! d1 K. ^# @) u7 `% S 6 F! P R6 U/ J
4 C( D8 ?* l1 e2 y4 z
: K5 E' Z2 G c9 N! x! I
; {3 i: p. _! @! ]/ e
认证步骤 7 ?5 L4 J( B G: q) N! D0 F- t5 d
在BSI认证ISO27001(BS7799-2:2005)有七个步骤:
4 b5 B9 v: x$ K5 Z+ c, m: F D- S6 { N, `: o7 b8 f5 h
第一步:按照ISO27001(BS7799-2:2005)建立框架
" L$ O% f9 W* Z* ?4 A0 I
, n* s- T% ` w% r第二步:BSI将评估费用和正式审核时间* V9 O8 Q( g1 t' Q/ q
6 j) j7 l1 k) D( [( r
第三步:向BSI递交正式申请
5 z- ?+ D M6 q' \" z8 S5 Z# S) \+ \
第四步:(可选项)BSI将进行预审,在正式审核前排除一些重大的确失,同时让客户熟悉审核的方法危险评估,审查方针,范围和采用的程序。检查体系中遗漏和繁琐需要修改的地方。0 @: u. y$ K" F* M* C* L
# k: b4 g% a5 ?! t/ r+ b第五步:BSI将进行第一阶段审核,主要进行方针,范围和采用程序的审核,查看风险评估的结果、处理方法和适用性声明,检查体系中遗漏和繁琐需要修改的地方。
6 X: r- U1 f- a1 A: Z, N% l+ [+ M3 C- b7 @$ m! x8 M
第六步:BSI将进行第二阶段审核,主要进行实施审核,查看程序规定的执行情况。BSI将现场审核并给出建议。1 ^; _& `) A+ t3 ?
6 R$ l; m1 {/ i4 P% o第七步:如果能顺利完成审核,在确定清楚认证范围后,发放信息安全体系证书。在满足持续审核情况下,三年有效。. i# t0 V) ]! d$ Z" N& u
: n7 U; y# |6 Z' N/ U6 ^( A7 K: [# F; h
|
|