慧盟咨询,帮您轻轻松松通过验厂,顺顺利利接到订单!
当前位置: 网站首页 > 体系认证 > ISO体系认证 > 文章正文

ISO27001信息安全管理和内控体系

时间:2012-07-11 来源:慧盟验厂 点击:

信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。

BS7799分为两个部分:

第一部分BS7799-1,信息安全管理实施规则,对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;

第二部分BS7799-2,信息安全管理体系规范,说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。

ISO27001信息安全管理和内控体系是个交集,关于两者的不同点,考虑了一些,如下:

1、目的和关注点不同,内控涉及的信息系统范围和内容比安全管理体系(ISO27001)小。

安全管理依据ISO27001是国际标准,是为了保障组织系统安全,关注整体信息系统的完整性、保密性、可用性。

内控是为了满足美国证监会对上市公司财务报表数据真实性的要求,主要是针对与财务相关的系统,关注点在数据的真实性。

安全管理主要涉及内容:

信息安全方针

组织安全

资产分类管理

人力资源安全

物理和环境安全

通信与操作管理

访问控制

信息系统的获取、开发和维护

信息安全事故管理

业务连续性管理

符合性

内控主要考虑的内容:

对程序和数据的访问控制

程序变更管理

程序开发

系统运行

2、重合控制点的控制侧重不同。

内控比较关注用户的管理、权限的控制、访问的审计等,这个和ISO27001关注的一些控制点有重合,不过在控制点里边,内控的要求侧重在数据真实的控制,偏重审计,防范技术手段和管理的脱节,内控更偏重于细节点。7799关注整体的安全管理,从体系的角度来考虑安全。

3、安全管理体系和内控相互促进,两者的交集以要求高的为标准。

------分隔线----------------------------