免费获得ISO培训资料
每月仅限10个名额,我们很注重您的隐私,请放心填写!

邮 箱:

当前位置: > 认证知识 >

认证知识

ISO认证系列我们最应该掌握的知识

发布时间:2011-08-18 11:33 点击:

今天给大家介绍一些ISO认证的重要知识.不同的是,一个正在同时运用ISO27001和ISO17799尺度的机构组织,可以建立一个完全符合认证详细要求的ISMS,同时这个ISMS体系也符合实践指南的要求,于是,这一组织就可以获得外界的认同,即获得认证.是否属于人力密集型组织?--组织的大多数员工做的基本是类似流程的产品研发或出产制造工作,近似(重复劳动的)人力密集型组织,核工作量可以减少/也可以与审核机构的审核员沟通,询问进行报价谈判的审核机构职员--你们审核人天减免的前提是什么?内部有什么人天减免的划定没有?引导让谈报价的审核机构交涉职员主动将上述3个前提说出来,然后你再具体陈述. IT基础举措措施及应用是否(与团体公司或兄弟组织)相同/类似.
ISO27001认证要求与其他治理尺度.ISO27001尺度是为了与其他治理尺度,好比ISO9000ISO14001等相互兼容而设计的,这一尺度中的编号系统和文件治理需求的设计初衷,就是为了提供良好的兼容性,使得组织可以建立起这样一套治理体系:能够在最大程度上融入这个组织正在使用的其他任何治理体系. 1950年W. Edwards Deming提出PDCA流程,即计划(Plan)-执行(Do)-检查(Check)-晋升(Act)过程,意在说明业务流程应当是精益求精的,该方法使得职能部分经理可以识别出那些需要修正的环节并进行修正.体系审核担负着重大的责任并面对着严峻的挑战,同时审核中也会碰到很复杂的标题标题题目. ISO27001认证全程先容 1、认证先容 ISO/IEC 17799 (信息安全治理最佳实践指南)目前是国际上独一的关于信息安全治理的国际尺度.
ISO27001尺度指导一个企业如何着手开展ISMS项目,并且关注整个项目进程中的若干重要元素.这种情况下,该组织就应当从经济利益考虑,深圳ISO认证给大家介绍一下.选择一个合适的治理体系的认证机构来提供认证服务. ISO27001:2005尺度,是建立信息安全治理体系(ISMS)的一套规范(Specification for Information Security Management Systems),其中具体说明了建立、实施和维护信息安全治理体系的要求,指出实施机构应该遵循的风险评估尺度.一个组织可以仅遵从ISO17799来建立和发展ISMS(信息安全治理体系),由于实践指南中的内容是普遍合用的.认证机构必需得到一个国家鉴定机构的委托授权,才能为认证组织提供认证服务,并发放认证证书.而ISO/EC27001则包含这些详细详尽的治理体系认证要求. 但是有一点需要留意,一个组织假如没有事先拥有并使用任何形式的治理体系,并不意味着该组织不能进行ISO27001认证.同样地,各个机构组织对于既有风险防护的投入也参差不齐.
大多数国家都有自己的国家鉴定机构(好比:英国UKAS),任何获得该机构授权进行ISMS认证的机构均记录在案.从务实的角度考虑,这表明在项目计划过程中,必需尽早对这些仅有的指导性的书籍和案例进行分析和研究. BS7799尺度的第二部门经由长时间讨论修订,也于2005年景为正式的ISO 尺度,即ISO/IEC 27001:2005.只有将报价中的总审核人天降下来,这样总报价才能降下来.该尺度2005年经由最新改版,发展成为 ISO/IEC 17799:2005尺度.一般来说,组织通常会使用为其ISO9000认证或者其他治理体系认证提供认证服务的机构,来提供ISO27001认证服务.恰是由于这个缘故,在ISMS体系建立的过程中,质量治理的经验举足轻重. 恰是由于这个缘故,在ISMS体系建立的过程中,质量治理的经验举足轻重.审核是任何治理体系成功的枢纽,对于信息安全治理体系也是一样.基于以上或者其他原因,每个运行ISMS的组织,其内部成员必需对风险评估有一个共鸣,这个风险评估的方法论、结果发现和推荐解决方式都必需得到董事会的首肯.关于审核机构官方报价中的:报告+差旅人天,这点也是可以谈的,其意思就是也可以全部减免这部门人天.
ISO27001先容 ISO27001是国际信息安全领域的重要尺度,它来源于英国尺度协会(British Standards Institute,BSI)于1995年2月制定的信息安全治理尺度--BS7799,BS7799分两个部门,其第一部门于2000年被ISO组织采纳,正式成为ISO/IEC 17799 尺度.一般来说,组织通常会使用为其ISO9000认证或者其他治理体系认证提供认证服务的机构,来提供ISO27001认证服务.在与审核机构签订ISO 27001认证项目合同前夕,如何说服审核机构减少审核人天总数呢?老彭结合自己所介入的ISO 27001认证审核的实际项目,在此给出审核人天减免的三个前提:是否属于(审核机构的)老客户--之前认证过,或者之前已进行过ISO 9000/14001的认证,工作流程相同,可以减少审核人天. 大多数国家都有自己的国家鉴定机构(好比:英国UKAS),任何获得该机构授权进行ISMS认证的机构均记录在案.着手预备ISMS项目和PDCA流程.ISMS项目很复杂,可能持续若干个月甚至若干年,涉及整个机构组织以及从治理层到收发部分的每个成员.
在技术层面来讲,这就表明一个正在独立运用ISO17799的机构组织,完全符合实践指南的要求,但是这并不足以让外界认可其已经达到认证框架所制定的认证要求.这种情况下,该组织就应当从经济利益考虑,选择一个合适的治理体系的认证机构来提供认证服务.换句话说,统一个东西,一个机构组织以为是必需提防的威胁,在另一个组织看来可能是一个必需捉住的机遇.认证机构必需得到一个国家鉴定机构的委托授权,才能为认证组织提供认证服务,并发放认证证书.然而,因为ISO17799并非基于认证框架,它不具备关于通过认证所必须的信息安全治理体系的要求. ISO27001尺度是为了与其他治理尺度,好比ISO9000和ISO14001等相互兼容而设计的,这一尺度中的编号系统和文件治理需求的设计初衷,就是为了提供良好的兼容性,使得组织可以建立起这样一套治理体系:能够在最大程度上融入这个组织正在使用的其他任何治理体系.但是有一点需要留意,一个组织假如没有事先拥有并使用任何形式的治理体系,并不意味着该组织不能进行ISO27001认证.信息安全治理体系认证正被世界上越来越多的组织接受,加入到建立信息安全治理体系并获得认证的行列中来.按照审核尺度ISO 27006的人天参考,3400人的规模ISO 27001首次审核总人天为23,经由上述减免人天谈判后,终极合同履行的总人天为:18.5人天,详细分为:文审+初访为:4人天,正式审核为:12人天,报告及差旅为:1.5人天.
信息安全治理体系认证象ISO 9000 质量治理体系认证一样,已成为一种潮流,成为一种工业. ISO27001(信息安全治理体系规范)是ISO/IEC 17799 的姊妹对尺度,是信息安全治理体系审核的依据尺度.目前,依据ISO27001建立信息安全治理体系并获得认证正成为世界潮流.该尺度夸大以风险治理为基础的、全面的安全治理,目前该方法在世界范围内得到认可.这个流程以及流程的改进,都必需遵循这样一个过程:先计划,再执行,而后对其运行结果进行评估,紧接着按照计划的详细要求对该评估进行复查,而后寻找到任何与计划不符的结果偏差(即潜伏改进的可能性),最后向治理层提出如何运行的终极报告. ISO27001认证诞生时间短,成功的案例比较少. 风险评估和风险应对计划,任何一个ISMS体系的建立和开发都应当满足组织独特的需求.每个组织不仅都有自己独特的业务模式、运营目标、形象特点和内部文化,他们对待风险的立场倾向也大相径庭.