甘肃ISO20000信息技术服务管理体系周期
-
¥10000.00
但是有一点需要注意,一个组织如果没有事先拥有并使用任何形式的管理体系,并不意味着该组织不能进行ISO27001认证。这种情况下,该组织就应当从经济利益考虑,选择一个合适的管理体系的认证机构来提供认证服务。认证机构得到一个国家鉴定机构的委托授权,才能为认证组织提供认证服务,并发放认证证书。大多数国家都有自己的国家鉴定机构(比如:英国UKAS),任何获得该机构授权进行ISMS认证的机构均记录在案。
任何一个ISMS体系的建立和开发都应当满足组织特的需求。每个组织不仅都有自己特的业务模式、运营目标、形象特点和内部文化,他们对待风险的态度倾向也大相径庭。换句话说,同一个东西,一个机构组织认为是提防的威胁,在另一个组织看来可能是一个抓住的机遇。同样地,各个机构组织对于既有风险防护的投入也参差不齐。基于以上或者其他原因,每个运行ISMS的组织,其内部成员对风险评估有一个共识,这个风险评估的方法论、结果发现和推荐解决方式都得到董事会的。
ISMS项目很复杂,可能持续若干个月甚至若干年,涉及整个机构组织以及从管理层到收发部门的每个成员。ISO27001认证诞生时间短,成功的案例比较少。从务实的角度考虑,这表明在项目计划过程中,尽早对这些仅有的指导性的书籍和案例进行分析和研究。
ISO27001标准指导一个企业如何着手开展ISMS项目,并且关注整个项目进程中的若干重要元素。
1950年W. Edwards Deming提出PDCA流程,即计划(Plan)-执行(Do)-检查(Check)-提升(Act)过程,意在说明业务流程应当是不断改进的,该方法使得职能部门经理可以识别出那些需要修正的环节并进行修正。这个流程以及流程的改进,都遵循这样一个过程:先计划,再执行,而后对其运行结果进行评估,紧接着按照计划的具体要求对该评估进行复查,而后寻找到任何与计划不符的结果偏差(即潜在改进的可能性),后向管理层提出如何运行的终报告。
易整合:以前各管理系统对管理制度面的要求有不太一致的描述方式,且章节不一。例如管理制度的PDCA(Plan,Do,Check,Act)、政策与支持等管理制度面要求不同。在新版当中采取Annex SL做结构性要求,让不同管理系统易于接轨、整合。Annex SL的结构是ISO组织未来所有管理制度制定时的重要依据,目前已经有ISO 22301(前BS 25999营运持续管理系统)和这次的ISO 27001新版都已采此结构进行调整。预计已颁布的标准如ISO9000/ ISO20000未来的改版也将以相同的思路进行调整。
然而过去的几年中,IT领域和通信行业发生了非常大的变革,出现了全面的业务和技术的融合。移动互联网蓬勃兴起、智能手机的广泛采用、云计算技术的风起云涌,带来了全新的网络威胁、数据泄漏和欺诈的风险。面对这样的变化和趋势,使得信息安全管理体系标准的更新也变得日益重要。