ISO27001(信息安全管理体系认证)常见问题问答
ISO27001(信息安全管理体系认证)常见问题问答1、国家对信息安全的要求答:“国家对信息安全保障的方针”中的- 27 号文件要求、商务部工业和信息化部令2009 年第13 号《关于境内企业承接服务外包业务信
息保护的若干规定》中均提到,要关注“信息安全”的内容。另外胡锦涛和温家宝也对信息安全的问题提出了要求。
2、各省市对信息安全的要求
答:各省、直辖市对企业申请信息安全认证管理体系也有相应的政策文件,请各省、直辖市相关部门关注各自的政策信息。
3、信息安全包含哪些内容?
答:信息安全包含了信息环境、信息网络和通信基础设施、媒体、数据、信息内容、信息应用等多个方面的安全需要。
4、信息安全保障信息的哪些属性?
答:保障信息的“保密性、完整性、可用性、真实性、可核查性、不可否认性、可靠性、可控性”等等。
5、公司实施信息安全体系后,谁最受益?
答:公司最为受益,直接受益者是公司的投资人(公司老板)。
6、信息安全保障公司的哪些内容?
答:公司的技术资料、关键业务信息、专利、商业机密、文件、图纸等,同时包括对关键岗位人员的保障及管理。
7、什么类型的企业可以做 ISO 27001?
答:任何类型的企业都可以做。不受企业类型的限制。
8、对申请 ISO 27001 认证的企业是否有条件要求?
答:没有任何限制条件。只要客户有信息安全的意识或需求,均可申请此项认证。另外,对于申请认证的客户,没有要求必须认证过ISO 9000 或其他体系的要求。
9、咨询师由几人组成?
答:对于100 人以下的企业,咨询师由2 人组成。对于100 人以上的企业,将根据客户情况扩充咨询团队,一般由2——4 人组成。如遇特殊情况,另行处理。
10、咨询过程中提供哪些培训?
答:主要有“ISO27001 基础知识培训、(整合体系)文件编写培训、风险评估和资产识别培训、文件实施培训”这四个方面的培训,我们
还将根据客户的情况,适当增加网络管理技巧方面的培训。
11、咨询价格为什么这么贵?
答:与常规体系认证不同,信息安全体系在咨询过程中对于风险的识别和评估、残余风险识别、漏洞扫描、业务连续性演练等几个方面是
技术性非常强也是非常耗费人力的部分。且信息安全领域的专业人员稀少,服务周期长。息安全在咨询过程中,需要有相关的技术纳入其中,主要的技术有:备份恢复技术、监控管理技术、密码技术、系统安全技术等。
12、咨询过程中有哪些服务特色?
答:(1)在体系策划过程中,我们会根据客户的情况,为客户提供技术解决建议,例如在网络管理、系统权限分配、风险识别、备份恢复
等方面适当给予建议。
(2)体系整合,将ISO 9001、ISO 14000、OHSAS18000、CMMI 与ISO27001 进行系统的整合,特别是对于软件企业或公司有软件开发过程的企业,我们在做ISO 27001 咨询的过程中,将根据企业需求,保障信息安全的同时规范公司软件开发管理的过程。避免一个公司多套管
理体系的局面。
13、认证过程咨询师是否参与?
答:翔科国际CMM 项目部对咨询师有严格的要求,必须参与认证过程。参与方式视情况而定。
14、信息安全认证与涉密有什么关系?
答:涉密认证包括涉密信息系统产品认证和涉及国家秘密的计算机信息系统集成认证。目前做涉密认证的企业大部分为IT 企业,其认证
的业务主要为:涉密计算机信息系统集成认证。对于申请此类认证的企业,要求必须持有“系统集成”资质或与其相同资历后,方可申请
该项“涉密资质”。但对于大多数企业来说,并不涉及或部分涉及“涉密”业务,且不符合申报“涉密资质”的条件。又由于投标或者顾客
的需求,又不得不做涉密相关的认证,在这种情况下,我们可推荐客户做信息安全认证(ISO 27001)。信息安全认证中,对于信息的保密和安全性也有严格的要求。而且国家对信息安全方面要求格外重视,信息安全认证是可以满足顾客需求
的。
15、认证过程结束后,是不是咨询服务立刻结束?
答:不是的。认证过程结束后,意味着该项目的阶段性活动结束。只要是我们的客户,都会给客户提供服务。服务方式一般采用非现场方
式:邮件、MSN、QQ、电话等方式与咨询师或翔科国际CMM 项目部联系。对于客户提出的问题我们都将一一解答。
16、ISO 27001 的咨询流程
答:差距分析、标准知识培训、指导客户识别公司的信息资产、现场风险评估、体系策划、文件编写指导及评审、体系运行、内审、风险
再评估、二次内审、管理评审。 谢谢管理员提供的信息!:) 学习下,很好的东东! 多谢你的劳动
页:
[1]
