华南地区:18028799418
华中地区:18028792934
华北地区:18165720910
华东地区:18028793024
深圳总部:400-005-1068
- 关于我们
- 体系认证
Amfori-BSCI认证 SEDEX/SMETA认证
ICTI认证 RBA(原EICC)认证 WCA认证 WRAP认证 SA8000认证 CVS认证 CSR认证 ICS认证 GRS认证 BRC认证 SLCP认证 TAPA认证 FSC森林认证 GOTS认证 GMPC认证 GMP认证 SQP认证 IATF16949认证 QC080000认证 SCAN反恐 C-TPAT反恐 GSV认证 ISO9001认证 ISO14001认证 OHSAS8001认证 ISO13485认证 ISO27001认证 ISO45001认证 更多 - 客户验厂
- 最新资讯
- 行业案例
欢迎莅临!权威验厂,首选潜龙
潜龙验厂咨询网——专业综合验厂资讯门户
-
IETP认证申请和证书的不同状态
-
热烈祝贺广州市***印刷有限公司,于2022年1月14日顺利通过SMETA-4P认证审核
-
热烈祝贺东莞市***实业有限公司,于2022年1月13日顺利通过Dollar Tree认证审核
-
热烈祝贺深圳***文化创意产业有限公司,于2022年1月14日顺利通过ISO9001认证审核
-
热烈祝贺广东***科技有限公司,于2022年1月12日顺利通过Office Depot社会任责验厂审核
-
热烈祝贺***文化用品(深圳)有限公司,于2022年1月10日顺利通过DISNEY验厂审核
-
热烈祝贺重庆***动力机械有限公司,于2022年1月10日顺利通过SMETA-4P认证审核
-
热烈祝贺江门***食品加工仓储有限公司,于2022年1月7日顺利通过SMETA-4P认证审核
-
热烈祝贺***电器(深圳)有限公司,于2022年1月7日顺利通过BSCI认证审核
-
热烈祝贺越南***机电有限公司,于2021年12月31日顺利通过Costco-反恐验厂审核
-
热烈祝贺越南***机电有限公司,于2021年12月31日顺利通过Costco-人权验厂审核
-
热烈祝贺深圳***文化创意产业有限公司,于2021年12月30日顺利通过IETP认证审核
-
热烈祝贺中山***运动制品有限公司,于2021年12月30日顺利通过SCSA认证审核
-
热烈祝贺东莞市***电子有限公司,于2021年12月30日顺利通过FCCA认证审核
-
热烈祝贺湛江***水产实业有限公司,于2021年12月30日顺利通过Kroger验厂审核
-
热烈祝贺东莞市***电子科技有限公司,于2021年12月28日顺利通过CTI人权验厂审核
-
热烈祝贺东莞市***电子科技有限公司,于2021年12月27日顺利通过CTI品质验厂审核
-
热烈祝贺***(越南)科技有限公司,于2021年12月27日顺利通过RBA验厂审核
-
热烈祝贺***科技股份有限公司,于2021年12月24日顺利通过SMETA-4P认证审核
-
热烈祝贺广州***首饰有限公司,于2021年12月24日顺利通过SMETA-4P认证审核
深圳市潜龙企业管理咨询有限公司
在iso/iec 27001:2005标准 “4.2.1建立isms” 条款中,已经规定了isms的建立内容和步骤。组织要遵照这些内容和步骤,结合其总体业务活动和风险的需要,而建立其自己的isms,并形成相应的isms文件。
(1) 正确理解标准的要求
iso/iec 27001:2005“4.2.1 establish the isms”(4.2.1建立isms) 条款,有10条强制性要求(见4.2.1 a-j)。由于在英文标准中,这些要求都通过使用一个英语词“shall”引出,因此,bsi(英国标准研究院)把这些“强制性要求”称为“shall” 要求 (“shall” requirements) 。这意味着,凡是跟在“shall”后面的要求都是isms必须完全满足的命令式的要求。
这10条强制性要求既是10个过程或活动,也可作为isms建立的10个步骤。
(2) 遵照标准要求的isms建立步骤
按照iso/iec 27001:2005“4.2.1建立isms ” 条款的要求,建立isms的步骤包括:
1) 定义isms的范围和边界,形成isms的范围文件;
2) 定义isms方针(包括建立风险评价的准则等),形成isms方针文件;
3) 定义组织的风险评估方法;
4) 识别要保护的信息资产的风险,包括识别:
a) 资产及其责任人;
b) 资产所面临的威胁;
c) 组织的脆弱点;
d) 资产保密性、完整性和可用性的丧失造成的影响。
5) 分析和评价安全风险,形成《风险评估报告》文件,包括要保护的信息资产清单;
6) 识别和评价风险处理的可选措施,形成《风险处理计划》文件;
7) 根据风险处理计划,选择风险处理控制目标和控制措施,形成相关的文件;
8) 管理者正式批准所有残余风险;
9) 管理者授权isms的实施和运行;
10) 准备适用性声明。
4. 完成所需要的isms文件
isms文件是isms的主要要素,既要与iso/iec 27001:2005保持一致,又要符合本组织的信息安全的需要。实际上,isms文件是本组织“度身定做”的适合本组织需要的实际的信息安全管理标准,是iso/iec 27001:2005的具体体现。对一般员工来说,在其实际工作中,可以不过问国际信息安全管理标准-iso/iec 27001:2005,但必须按照isms文件的要求执行工作。
(1) isms文件的类型
根据iso/iec 27001:2005标准的要求,isms文件有三种类型。
1) 方针类文件(policies)
方针是政策、原则和规章。主要是方向和路线上的问题,包括:
a) isms方针(isms policy);
b) 信息安全方针(information security policy)。
其中,isms方针是信息安全方针的父集。即在isms方针的框架下,组织可根据实际需要,制定其它重要领域的具体的信息安全方针。例如,可有访问控制方针、恶意软件防范方针、口令控制方针、网络安全方针、硬件设备安全方针等。
2) 程序类文件(procedures)
“程序文件”有时又称作“过程文件”,包含着为达到某个特定目的,而对一系列活动(或过程)的顺序进行控制。有输入-处理-输出。所产生的输出通常是“记录”。
3) 记录(records)
记录是提供客观证据的一种特殊类型的文件。通常, 记录发生于过去,是相关程序文件运行产生的结果(或输出)。记录通常是表格形式。
4) 适用性声明文件(statement of applicability, 简称soa)
iso/iec 27001:2005标准的附录a提供许多控制目标和控制措施。这些控制目标和控制措施是最佳实践。对于这些控制目标和控制措施,实施isms的组织只要有正当性理由,可以只选择适合本组织使用的那些部分,而不适合使用的部分,可以不选择。选择,或不选择,要做出声明(说明),并形成《适用性声明》文件。
(2) 必须的文件
“必须的isms文件”是指iso/iec 27001:2005“4.3.1总则”明确规定的,一定要有的文件。这些文件就是所谓的强制性文件(mandatory documents)。“4.3.1总则”要求isms文件必须包括9方面的内容:
1) isms方针
isms方针是组织的顶级文件,规定该组织如何管理和保护其信息资产的原则和方向,以及各方面人员的职责等。
2) isms的范围
3) 支持isms的程序和控制措施;
4) 风险评估方法的描述;
5) 风险评估报告;
6) 风险处理计划;
7) 控制措施有效性的测量程序;
8) 本标准所要求的记录;
9) 适用性声明。
在实际工作中,上述内容经过归纳和整理后,可用以下文件表示:
1) isms方针文件,包括isms的范围;
2) 风险评估程序,包括“风险评估方法的描述”,而其运行的结果产生《风险评估报告》。
3) 风险处理程序,运行的结果产生《风险处理计划》。
4) 文件控制程序;
5) 记录控制程序;
6) 内部审核程序;
7) 纠正措施与预防措施程序;
8) 控制措施有效性测量程序
9) 管理评审程序
10) 适用性声明
