华南地区:18028799418
华中地区:18028792934
华北地区:18165720910
华东地区:18028793024
深圳总部:400-005-1068
- 关于我们
- 体系认证
Amfori-BSCI认证 SEDEX/SMETA认证
ICTI认证 RBA(原EICC)认证 WCA认证 WRAP认证 SA8000认证 CVS认证 CSR认证 ICS认证 GRS认证 BRC认证 SLCP认证 TAPA认证 FSC森林认证 GOTS认证 GMPC认证 GMP认证 SQP认证 IATF16949认证 QC080000认证 SCAN反恐 C-TPAT反恐 GSV认证 ISO9001认证 ISO14001认证 OHSAS8001认证 ISO13485认证 ISO27001认证 ISO45001认证 更多 - 客户验厂
- 最新资讯
- 行业案例
欢迎莅临!权威验厂,首选潜龙
潜龙验厂咨询网——专业综合验厂资讯门户
-
IETP认证申请和证书的不同状态
-
热烈祝贺广州市***印刷有限公司,于2022年1月14日顺利通过SMETA-4P认证审核
-
热烈祝贺东莞市***实业有限公司,于2022年1月13日顺利通过Dollar Tree认证审核
-
热烈祝贺深圳***文化创意产业有限公司,于2022年1月14日顺利通过ISO9001认证审核
-
热烈祝贺广东***科技有限公司,于2022年1月12日顺利通过Office Depot社会任责验厂审核
-
热烈祝贺***文化用品(深圳)有限公司,于2022年1月10日顺利通过DISNEY验厂审核
-
热烈祝贺重庆***动力机械有限公司,于2022年1月10日顺利通过SMETA-4P认证审核
-
热烈祝贺江门***食品加工仓储有限公司,于2022年1月7日顺利通过SMETA-4P认证审核
-
热烈祝贺***电器(深圳)有限公司,于2022年1月7日顺利通过BSCI认证审核
-
热烈祝贺越南***机电有限公司,于2021年12月31日顺利通过Costco-反恐验厂审核
-
热烈祝贺越南***机电有限公司,于2021年12月31日顺利通过Costco-人权验厂审核
-
热烈祝贺深圳***文化创意产业有限公司,于2021年12月30日顺利通过IETP认证审核
-
热烈祝贺中山***运动制品有限公司,于2021年12月30日顺利通过SCSA认证审核
-
热烈祝贺东莞市***电子有限公司,于2021年12月30日顺利通过FCCA认证审核
-
热烈祝贺湛江***水产实业有限公司,于2021年12月30日顺利通过Kroger验厂审核
-
热烈祝贺东莞市***电子科技有限公司,于2021年12月28日顺利通过CTI人权验厂审核
-
热烈祝贺东莞市***电子科技有限公司,于2021年12月27日顺利通过CTI品质验厂审核
-
热烈祝贺***(越南)科技有限公司,于2021年12月27日顺利通过RBA验厂审核
-
热烈祝贺***科技股份有限公司,于2021年12月24日顺利通过SMETA-4P认证审核
-
热烈祝贺广州***首饰有限公司,于2021年12月24日顺利通过SMETA-4P认证审核
深圳市潜龙企业管理咨询有限公司
信息是所有组织赖以生存和发展的最有价值的资产之一,犹如维持生命所必须的血液。然而,在当今激烈竞争的商业环境下,作为组织生命血液的信息总是受到多方面的威胁和风险。这些威胁可能来自内部,也可能来自外部,可能是无意的,也可能是恶意的。随着信息的储存、传输和检索新技术的不断涌现,许多组织感到面对各种威胁防不胜防,犹如敞开了大门。
组织的业务目标和信息安全要求紧密相关。实际上,任何组织成功经营的能力在很大程度上取决于其有效地管理其信息安全风险的才干。因此,如何确保信息安全已是各种组织改进其竞争能力的一个新的挑战任务。组织建立一个基于iso/iec 27001:2005标准的信息安全管理体系(information security management system,以下简称isms),已成为时代的需要。
本文从简单分析iso/iec 27001:2005标准的要求入手,论述建立一个符合该标准要求的isms。
1. 正确理解isms的含义和要素
isms创建人员只有正确地理解isms的含义、要素和iso/iec 27001标准的要求之后,才有可能建立一个符合要求的完善的isms。因此,本节先对isms的含义和要素用通俗易懂的语言,做出解释。
(1) “体系”的含义
“信息安全管理体系”(information security management system)中的“体系”来自英文 “system”。“system”当然可翻译为“体系”,但通常的译文应是“系统”。同样,“management system” 当然可翻译为“管理体系”,但通常也翻译为“管理系统”。例如在计算机领域中,一个十分常见的术语“database management system”,被普遍公认地翻译为“数据库管理系统”(简称dbms),而几乎没有人将其翻译为“数据库管理体系”。 很显然,如果把isms翻译为“信息安全管理系统”,也未尝不可。
实际上,“体系”和“系统”的含义都一样:由若干个为实现共同目标而相互依赖、协调工作的部件(或组分)组成的统一体。这些组成“体系”或“系统”的部件也称“要素”(element)。组成“体系”或“系统”的这些要素相互依赖,缺一不可。否则“体系”或“系统”就会受破坏、瘫痪,而不能工作或运行。例如,计算机系统(computer system)是由相互依赖的硬件和软件组成。如果硬件或软件受破坏,该计算机系统就不能正常运行。
此外,“体系”或“系统”是可分级的,即有上级和下级之分。系统的上级称为上级系统。其下级称为子系统。
(2) isms的含义
在iso/iec 27001标准中,已对isms做出了明确的定义。通俗地说,组织有一个总管理体系,isms是这个总管理体系的一部分,或总管理体系的一个子体系。isms的建立是以业务风险方法为基础,其目的是建立、实施、运行、监视、评审、保持和改进信息安全。
如果一个组织有多个管理体系,例如包括isms、qms(质量管理体系) 和ems(环境管理体系) 等,那么这些管理体系就组成该组织的总管理体系,而每一个管理体系只是该组织总管理体系中的一个组分,或一个子管理体系。各个子管理体系必须相互配合、协调一致地工作,才能实现该组织的总目标。
(3) isms的要素
标准还指出,管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”(见iso/iec 27001:2005 3.7)。这些就是构成管理体系的相互依赖、协调一致,缺一不可的组分或要素。我们将其归纳后,isms的要素要包括:
1) 信息安全管理机构
通过信息安全管理机构,可建立各级安全组织、确定相关人员职责、策划信息安全活动和实践等。
2) isms文件
包括isms方针、过程、程序和其它必须的文件等。
3) 资源
包括建立与实施isms所需要的合格人员、足够的资金和必要的设备等。
isms的建立要确保这些isms要素得到满足。
2. 建立信息安全管理机构
(1) 为什么需要信息安全管理机构?
系统 (或体系)可有“天然系统”和“人工系统”之分。isms是一个人工系统,需要管理机构组织人力建成。isms建成后,如果没有管理机构组织人员管理(包括分配合理的资源、监控和采取适当的控制措施等)isms不可能运行。isms也不可能是一个“永动机”,如果不能不断地从管理机构获取能源(包括人财物),其运行也会慢慢停止下来。
当今,社会上存在的常见问题是:某些组织建设管理体系的主要目的是为了取得认证证书,一旦取得证书,对管理体系的管理工作就松懈下来,相关的体系管理机构不健全,甚至被取消了,或者有名无实了。这样的管理体系不太可能获得好效益。
(2) 如何组建信息安全管理机构?
1) 信息安全管理机构的名称
标准没有规定信息安全管理机构的名称,因此名称并不重要。从目前的情况看,许多组织在建立isms之前,已经运行了其它的管理体系,如qms和ems等。因此,最有效与省资源的办法是将信息安全管理机构合并于现有管理体系的管理机构,实行一元化领导。
2) 信息安全管理机构的级别
信息安全管理机构的级别应根据组织的规模和复杂性而决定。从管理效果看,对于中等以上规模的组织,最好设立三个不同级别的信息安全管理机构:
a) 高层
以总经理或管理者代表为领导,确保信息安全工作有一个明确的方向和提供管理承诺和必要的资源。
b) 中层
负责该组织日常信息安全的管理与监督活动。
c) 基层
基层部门指定一位兼职的信息安全检查员,实施对其本部门的日常信息安全监视和检查工作。
3. 执行标准要求的isms建立过程
