|
引用第0楼fan8237150于2007-06-09 08:56发表的 企业自己能作信息安全管理体系认证吗? :
: t2 w4 @2 M9 u2 A4 Q5 _8 t0 q; O可以的。
( A" C# {- Z n6 o) R, t2 F% f* k1 z/ U) k4 |
/ q( e O/ b9 F0 D+ w2 ?: E
华虹NEC通过BS7799信息安全管理体系认证 (引用地址:http://www.dram.com.cn/home/newsintron.asp?id=12071)
( j9 o) ~4 }7 U$ L+ a0 x
6 ]; G3 K# q" l" J; g
: K3 C9 x# p' ]" n. h; [% k; L上海华虹NEC电子有限公司日前宣布,该公司通过BSI(British Standard Institution/英国标准协会)现场审核,并获UKAS(英国皇家认可委员会)认可的BS7799-2:2002信息安全管理体系证书。
; d8 J7 L: c- u k4 f! n, g. H" E* e6 i: d: q6 \% a
据介绍,通过申请BS7799的认证,华虹NEC从系统上提升和加强了公司本身及客户信息的安全度,特别是客户知识产权和商业秘密的安全性;强化了员工的信息安全意识,规范了信息安全行为。当遭遇信息安全侵害时,能够最大程度降低损失,并确保业务持续开展。华虹NEC已于2000年和2002年取得ISO9001和ISO14001的认证。 ! @& _: T0 I9 A2 V
4 o* x: | I" f; @/ ZBS7799是一个英国标准,但这一信息安全管理标准已经在许多国家被公布转化为国家标准,第一部分(实施细则)还被国际标准化组织转化成ISO标准,已经成为信息安全领域广泛接受的标准。BS7799标准为企业提供了一个启动、实施、维护、管理、改善信息安全的架构。通过建立BS7799信息安全管理体系,实施风险评估对信息资产进行分类,并采取控制措施来保证信息安全,从而达到保证企业持续发展的目的。
& R- C, I$ u$ J. j! F5 |4 [ 0 c! b I4 A! v- B6 |
) a& Y9 M- Q, O1 r9 z/ Q% k) g
2 P; R3 h) u2 F
2 V+ {) p1 a" t认证步骤 ' q* C K9 ]3 |: }* z3 d& y% g, W+ w' ]; d
在BSI认证ISO27001(BS7799-2:2005)有七个步骤:
, k4 R3 F( |# o q3 x% A1 M+ {0 ~
第一步:按照ISO27001(BS7799-2:2005)建立框架
2 N$ o7 L& [7 s
! w& g; G8 K3 t6 _9 R第二步:BSI将评估费用和正式审核时间
: x# F. K4 j' [: d0 J/ B, ^4 B3 ?+ V) P
第三步:向BSI递交正式申请
1 P% O& C4 d& T6 C6 f1 T+ N) w
) }5 V" ^; t/ g6 ^4 }第四步:(可选项)BSI将进行预审,在正式审核前排除一些重大的确失,同时让客户熟悉审核的方法危险评估,审查方针,范围和采用的程序。检查体系中遗漏和繁琐需要修改的地方。
. ^( w h; S+ h" ^
1 ?' d& T. u* ?% l$ Y# @第五步:BSI将进行第一阶段审核,主要进行方针,范围和采用程序的审核,查看风险评估的结果、处理方法和适用性声明,检查体系中遗漏和繁琐需要修改的地方。. p! F" l, P* C- E
6 a; O9 }+ V2 q* B8 Z
第六步:BSI将进行第二阶段审核,主要进行实施审核,查看程序规定的执行情况。BSI将现场审核并给出建议。
6 P0 d6 S! b6 P9 X0 Y& |- y8 H1 J% o4 X
第七步:如果能顺利完成审核,在确定清楚认证范围后,发放信息安全体系证书。在满足持续审核情况下,三年有效。% k2 L0 t7 Q" O2 f
7 |/ R) x7 \! t W# o8 o4 G9 o& j1 ~ h2 S$ C I9 w4 `2 F- o% b$ T
|
|