|
引用第0楼fan8237150于2007-06-09 08:56发表的 企业自己能作信息安全管理体系认证吗? :
) z$ V. @2 ^/ T3 s; S可以的。
' K1 u3 q0 n7 j2 ]3 p; c
; Q: r) I" ?- I4 O
; y, f, ^$ E0 n5 a& P华虹NEC通过BS7799信息安全管理体系认证 (引用地址:http://www.dram.com.cn/home/newsintron.asp?id=12071)3 A3 q% P/ [3 i1 C
- y2 u( x9 U# Y4 w% q
- v a: V) |% l5 V上海华虹NEC电子有限公司日前宣布,该公司通过BSI(British Standard Institution/英国标准协会)现场审核,并获UKAS(英国皇家认可委员会)认可的BS7799-2:2002信息安全管理体系证书。 ( ]2 M$ ?# @4 }' i# u3 r6 ?
4 s& l7 F7 M- A! b+ P据介绍,通过申请BS7799的认证,华虹NEC从系统上提升和加强了公司本身及客户信息的安全度,特别是客户知识产权和商业秘密的安全性;强化了员工的信息安全意识,规范了信息安全行为。当遭遇信息安全侵害时,能够最大程度降低损失,并确保业务持续开展。华虹NEC已于2000年和2002年取得ISO9001和ISO14001的认证。 9 m1 I- E3 I+ s! {7 O h
5 a' k# |/ C4 F8 P( Z0 DBS7799是一个英国标准,但这一信息安全管理标准已经在许多国家被公布转化为国家标准,第一部分(实施细则)还被国际标准化组织转化成ISO标准,已经成为信息安全领域广泛接受的标准。BS7799标准为企业提供了一个启动、实施、维护、管理、改善信息安全的架构。通过建立BS7799信息安全管理体系,实施风险评估对信息资产进行分类,并采取控制措施来保证信息安全,从而达到保证企业持续发展的目的。
9 C( n# R- G2 z" J; ? ( Y4 i5 P% [' R b! \& A/ F5 x
" n- s2 Z1 {5 [* K X! v8 e& u3 J6 P$ M1 k/ w
1 k) v. R7 ~# M/ B( ]认证步骤 2 b" u/ e* Y% o% P
在BSI认证ISO27001(BS7799-2:2005)有七个步骤:. w) T" A' l4 r' X
6 K, i6 A/ a3 N$ O* e2 O/ }第一步:按照ISO27001(BS7799-2:2005)建立框架: E3 X5 i* h/ w/ i! h) y# c6 n
1 x, Y& R+ P0 [, c* [第二步:BSI将评估费用和正式审核时间: e1 c: D, s- W
~2 q2 n- t/ F, Z
第三步:向BSI递交正式申请
+ N5 K* ?2 ~* y7 [" e6 W) t* N* t B1 a
第四步:(可选项)BSI将进行预审,在正式审核前排除一些重大的确失,同时让客户熟悉审核的方法危险评估,审查方针,范围和采用的程序。检查体系中遗漏和繁琐需要修改的地方。
$ A+ T ^; R6 Y$ P9 K) ]" W" l9 ^+ Q
第五步:BSI将进行第一阶段审核,主要进行方针,范围和采用程序的审核,查看风险评估的结果、处理方法和适用性声明,检查体系中遗漏和繁琐需要修改的地方。7 S) E. n v7 E- D3 d* Z
+ Z1 z9 L- R) M" r( ?
第六步:BSI将进行第二阶段审核,主要进行实施审核,查看程序规定的执行情况。BSI将现场审核并给出建议。/ B6 Q2 d; s' ~
9 ~2 h2 h( x% g+ @7 F" {! r/ r) a第七步:如果能顺利完成审核,在确定清楚认证范围后,发放信息安全体系证书。在满足持续审核情况下,三年有效。6 p; o) w, b3 R* {/ E$ @7 d
3 v8 f1 m2 K7 X* e: Z; N6 {: Q( p
7 C. o. @/ g! |7 g |
|