國家認證認可監(jiān)督委員會批準(zhǔn)認證咨詢機構(gòu)
批準(zhǔn)號:CNCA-Z-01Q-2006-038
聯(lián)系電話
全國:010-56542716
天津:022-27810977
國家認證認可監(jiān)督委員會批準(zhǔn)認證咨詢機構(gòu)
批準(zhǔn)號:CNCA-Z-01Q-2006-038
全國:010-56542716
天津:022-27810977
常見問題&知識園地
一,、引言
引言部分包含了兩個條款,即0.1總則,、0.2與其他管理體系標(biāo)準(zhǔn)的兼容性,。
0.1 總則
【內(nèi)容解析】
建立、實施,、運行,、監(jiān)視,、評審、保持和改進ISO27001信息安全管理體系,,應(yīng)該是一個組織整體經(jīng)營戰(zhàn)略 的一部分,,是從信息安全方面實現(xiàn)組織經(jīng)營宗旨的有效途徑之一。也就是說,,通過ISO27001信息安全管理體系的有效運行來支持組織經(jīng)營戰(zhàn)略的實現(xiàn),,是建立、實施,、運行,、監(jiān)視、評審,、保持和改進ISO27001信息安全管 理體系的根本目的,,因此,脫離了組織的經(jīng)營宗旨和經(jīng)營環(huán)境談信息安全是沒有意義的,。
而本ISO27001標(biāo)準(zhǔn)則給出了信息安全管理體系的基本要求,,為信息安全管理體系的建立、實施,、運行,、監(jiān)視、評審,、保持和改進提供了一個有用的模型,。
從組織經(jīng)營風(fēng)險的角度考慮,絕對安全的完美制度既無必要,,也不可實現(xiàn),。系統(tǒng)地管理信息安全,并不意味 著建立一套絕對安全的完美制度,,而應(yīng)將信息安全管理體系的建立,、實施、運行,、監(jiān)視,、評審、保持和改進作 為一個管理方法論,,應(yīng)用于組織信息安全的系統(tǒng)性管理,,設(shè)計一套適合于組織特點和具體需求的信息安全管理解決方案。
本標(biāo)準(zhǔn)提出的信息安全管理要求框架,,可以作為組織內(nèi)部和外部信息安全管理一致性評估的依據(jù),為組織發(fā) 現(xiàn)改進其信息安全管理績效的機會,。也就是說GB/T22080-2016(ISO27001)可作為第一方審核,、第二方審核 和第三方審核的依據(jù),。
內(nèi)部和外部信息安全管理體系一致性評估的實例包括:
1)組織基于改進其信息安全管理績效的需要,由組織自己或其代表實施的內(nèi)部信息安全管理體系審核,;
2)組織的顧客基于招標(biāo)或評價其合作伙伴信息安全管理績效的需要,,由顧客或其代表對組織信息安全管理 體系實施的審核;
3)第三方機構(gòu)基于認證的目的,,對組織信息安全管理體系實施的審核,。
0.2 與其他管理體系標(biāo)準(zhǔn)的兼容性
【內(nèi)容解析】
為滿足持續(xù)業(yè)務(wù)運營的要求,組織可能將管理體系方法論用于多個領(lǐng)域的管理,,包括以產(chǎn)品和服務(wù)質(zhì)量滿足 要求為核心目的的ISO9001質(zhì)量管理體系,、以污染物的產(chǎn)生和排放滿足環(huán)境管理要求為核心目的的環(huán)境管理體系,以及以信息資產(chǎn)的安全滿足要求為核心目的的信息安全管理體系,。
無論哪一種管理體系的運行,,客觀上都是和組織的業(yè)務(wù)過程及相關(guān)支持過程伴生的,這就為多種管理體系的 相互融合和兼容提供了現(xiàn)實可行性,。
例如,,在某些種類的IC卡制造業(yè),制卡過程的廢品率是質(zhì)量管理必須考慮的內(nèi)容,,廢品的產(chǎn)生以及處置則是 ISO14001環(huán)境管理關(guān)注的要素,,而信息安全管理則需要確保廢品卡作為含有敏感信息的介質(zhì),只能按照指定的方式和渠道予以處置,。一個經(jīng)過良好設(shè)計的管理體系規(guī)程,,應(yīng)能夠保證在制造過程控制中質(zhì)量管理、環(huán)境管理和 信息安全管理的要求同時得到滿足,。
以融合各管理體系要求的方式設(shè)計信息安全管理體系的另一個好處,,可以使實施和維護管理體系所需的資源 得到最有效率的使用,從而在一定程度上可減少因運行不同管理體系造成的機構(gòu)重疊和管理官僚化,,也可減少業(yè)務(wù)過程中的執(zhí)行人員不得不分別理解不同管理體系的要求帶來的混亂,。
關(guān)注卓越空間
關(guān)注卓越微博
關(guān)注卓越微信