國(guó)家認(rèn)證認(rèn)可監(jiān)督委員會(huì)批準(zhǔn)認(rèn)證咨詢機(jī)構(gòu)
批準(zhǔn)號(hào):CNCA-Z-01Q-2006-038
聯(lián)系電話
全國(guó):010-56542716
天津:022-27810977
國(guó)家認(rèn)證認(rèn)可監(jiān)督委員會(huì)批準(zhǔn)認(rèn)證咨詢機(jī)構(gòu)
批準(zhǔn)號(hào):CNCA-Z-01Q-2006-038
全國(guó):010-56542716
天津:022-27810977
常見問(wèn)題&知識(shí)園地
一、引言
引言部分包含了兩個(gè)條款,即0.1總則、0.2與其他管理體系標(biāo)準(zhǔn)的兼容性。
0.1 總則
【內(nèi)容解析】
建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)ISO27001信息安全管理體系,應(yīng)該是一個(gè)組織整體經(jīng)營(yíng)戰(zhàn)略 的一部分,是從信息安全方面實(shí)現(xiàn)組織經(jīng)營(yíng)宗旨的有效途徑之一。也就是說(shuō),通過(guò)ISO27001信息安全管理體系的有效運(yùn)行來(lái)支持組織經(jīng)營(yíng)戰(zhàn)略的實(shí)現(xiàn),是建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)ISO27001信息安全管 理體系的根本目的,因此,脫離了組織的經(jīng)營(yíng)宗旨和經(jīng)營(yíng)環(huán)境談信息安全是沒有意義的。
而本ISO27001標(biāo)準(zhǔn)則給出了信息安全管理體系的基本要求,為信息安全管理體系的建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)提供了一個(gè)有用的模型。
從組織經(jīng)營(yíng)風(fēng)險(xiǎn)的角度考慮,絕對(duì)安全的完美制度既無(wú)必要,也不可實(shí)現(xiàn)。系統(tǒng)地管理信息安全,并不意味 著建立一套絕對(duì)安全的完美制度,而應(yīng)將信息安全管理體系的建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)作 為一個(gè)管理方法論,應(yīng)用于組織信息安全的系統(tǒng)性管理,設(shè)計(jì)一套適合于組織特點(diǎn)和具體需求的信息安全管理解決方案。
本標(biāo)準(zhǔn)提出的信息安全管理要求框架,可以作為組織內(nèi)部和外部信息安全管理一致性評(píng)估的依據(jù),為組織發(fā) 現(xiàn)改進(jìn)其信息安全管理績(jī)效的機(jī)會(huì)。也就是說(shuō)GB/T22080-2016(ISO27001)可作為第一方審核、第二方審核 和第三方審核的依據(jù)。
內(nèi)部和外部信息安全管理體系一致性評(píng)估的實(shí)例包括:
1)組織基于改進(jìn)其信息安全管理績(jī)效的需要,由組織自己或其代表實(shí)施的內(nèi)部信息安全管理體系審核;
2)組織的顧客基于招標(biāo)或評(píng)價(jià)其合作伙伴信息安全管理績(jī)效的需要,由顧客或其代表對(duì)組織信息安全管理 體系實(shí)施的審核;
3)第三方機(jī)構(gòu)基于認(rèn)證的目的,對(duì)組織信息安全管理體系實(shí)施的審核。
0.2 與其他管理體系標(biāo)準(zhǔn)的兼容性
【內(nèi)容解析】
為滿足持續(xù)業(yè)務(wù)運(yùn)營(yíng)的要求,組織可能將管理體系方法論用于多個(gè)領(lǐng)域的管理,包括以產(chǎn)品和服務(wù)質(zhì)量滿足 要求為核心目的的ISO9001質(zhì)量管理體系、以污染物的產(chǎn)生和排放滿足環(huán)境管理要求為核心目的的環(huán)境管理體系,以及以信息資產(chǎn)的安全滿足要求為核心目的的信息安全管理體系。
無(wú)論哪一種管理體系的運(yùn)行,客觀上都是和組織的業(yè)務(wù)過(guò)程及相關(guān)支持過(guò)程伴生的,這就為多種管理體系的 相互融合和兼容提供了現(xiàn)實(shí)可行性。
例如,在某些種類的IC卡制造業(yè),制卡過(guò)程的廢品率是質(zhì)量管理必須考慮的內(nèi)容,廢品的產(chǎn)生以及處置則是 ISO14001環(huán)境管理關(guān)注的要素,而信息安全管理則需要確保廢品卡作為含有敏感信息的介質(zhì),只能按照指定的方式和渠道予以處置。一個(gè)經(jīng)過(guò)良好設(shè)計(jì)的管理體系規(guī)程,應(yīng)能夠保證在制造過(guò)程控制中質(zhì)量管理、環(huán)境管理和 信息安全管理的要求同時(shí)得到滿足。
以融合各管理體系要求的方式設(shè)計(jì)信息安全管理體系的另一個(gè)好處,可以使實(shí)施和維護(hù)管理體系所需的資源 得到最有效率的使用,從而在一定程度上可減少因運(yùn)行不同管理體系造成的機(jī)構(gòu)重疊和管理官僚化,也可減少業(yè)務(wù)過(guò)程中的執(zhí)行人員不得不分別理解不同管理體系的要求帶來(lái)的混亂。
關(guān)注卓越空間
關(guān)注卓越微博
關(guān)注卓越微信