1.什么是BS7799、ISO17799以及ISO27001

目前在国际上被广泛采用的信息安全管理标准是BS7799标准系列,后来的国际标准ISO/IEC 17799和ISO/IEC 27001都来源于此标准。目前,已有二十多个国家引用BS 7799标准作为国标,采用BS7799最佳实践来实施ISMS的组织超过10万家。截至2008年6月,全球通过27001认证的企业为4426家,其中中国大陆为106家,从统计数字来看,这一数字还在迅速增加。
BS7799标准主要由两大部分组成:BS 7799-1,以及BS 7799-2。BS7799-1即“信息安全管理实施规则”,该标准提出了在企业内部启动、实施、保持和改进信息安全管理的指南和一般原则,BS7799-2是“信息安全管理体系 要求”,说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
2000年,国际标准化组织(ISO)在BS7799-1的基础上制定通过了ISO/IEC 17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO/IEC 17799再次修订,BS7799-2也于2005年被采用为国际标准ISO/IEC 27001:2005。
在最新的ISO 17799:2005 中,包括11个要素,39个控制目标和133种控制措施,如下图所示。
iso27001laqu1
图1:信息安全管理要素模型
ISO/IEC 27001:2005,是在组织内部建立信息安全管理体系(ISMS)的一套规范(Specification for Information Security Management Systems),其中详细说明了建立、实施、运行、监视、评审、保持和改进信息安全管理体系的模型和要求,可用来指导相关人员应用ISO/IEC 17799,其最终目的,通过规范的过程,建立适合企业实际要求的信息安全管理体系。
iso27001laqu2
图2:信息安全管理的PDCA模式 2.

2. ISO27001体系的核心理念是什么?

通过“风险评估”、“风险管理”切入企业的信息安全需求,经由完整的控制方法选择及落实,有效降低企业面临的风险。

3. 企业通过ISO27001信息安全管理体系认证情况如何?

截至2008年6月,全球通过27001认证的企业为4426家,其中中国大陆为106家,从统计数字来看,这一数字还在迅速增加。

4.经常看到媒体报道某组织通过ISO27001国际信息系统安全认证,这代表什么?

代表组织在信息安全管理运行方面符合国际标准ISO 27001的规定,有完善的体系可以持续改进,在同行处于领先地位。

5.ISO27001信息安全管理体系相关认证机构有哪些?

BSI 、DNV 、TUV 等

6.ISO 27001 IM和LA课程比较

前者更注重实践,强调学习ISO27001相关条款,对ISMS进行实施和维护。后者更多从审计的角度看问题,不仅仅要掌握实施维护,更要学会审核监控。
7、经常看到业内专家的名片印有ISO 27001 LA主任审核师代表什么?
     ISO 27001 LA即ISO 27001 Lead Auditor,是ISO 27001主任审核员,是基于ISO 27001标准的一种资质认证,是信息安全管理体系领域最高级别的个人资质,表明持有人ISO 27001信息安全管理体系标准的理解程度以及审核能力达到国际公认的水准。目前,越来越多的审核员、咨询顾问以及企业IT人员取得了权威的ISO 27001 LA资质认证。
8、哪些人员适合进行ISO 27001的培训及学习?
       信息部门负责人、系统管理员、信息安全管理体系(ISMS)的负责人、IT中高级经理、IT审计主管、安全服务咨询顾问等。
9、ISO 27001 LA主任审核师考试难易程度如何?
       ISO 27001 LA认证考试成绩由两部分组成,平时成绩和笔试成绩。其中平时成绩占总成绩的30%,根据学员的出勤、作业完成情况、小组讨论表现等,由老师给出。笔试成绩占总成绩的70%,笔试由选择题,辨析题和问答题组成。
       ISO 27001是一套管理体系,强调的是管理的方法,因此,学习过程中,理解标准含义及实施、审核方法非常重要。5天学习过程中,保证出勤,确保复习及完成作业,积极参与课堂讨论,一定能够取得较好的成绩。
10、ISO 27001 LA认证证书的含金量如何?
      上海信息化培训中心与全球最大的认证机构长期合作,课程体系全部通过IRCA组织审核,所颁发的ISO 27001 LA证书在全球范围内均可得到认可。

11  .拥有ISO27001 LA证书就可以当审计员么?

拥有证书即可注册为审计员最低级别见习审计员,需要40小时实习审计,并获得一定经验才可以成为正式审计员。对于有实际审核经验者可晋升初阶审核员 主任审核员 直至首席审核员 参考IRCA802文件

12 学习实施ISO27001的原因

合规要求 客户要求 自身进步需求

 
  联系人:
廖双晓
电    话:
      021-62127453                    021-62126633-6022
邮    箱:
liaosh@sh.cei.gov.cn

        全国报名热线:4008-808-369
2006-2010 版权所有 上海信息化培训中心 传真:021-62123450 E-mail:training@sh.cei.gov.cn 法律申明隐私条款网站地图