國家認(rèn)證認(rèn)可監(jiān)督委員會批準(zhǔn)認(rèn)證咨詢機(jī)構(gòu)
批準(zhǔn)號:CNCA-Z-01Q-2006-038
聯(lián)系電話
全國:010-56542716
天津:022-27810977
國家認(rèn)證認(rèn)可監(jiān)督委員會批準(zhǔn)認(rèn)證咨詢機(jī)構(gòu)
批準(zhǔn)號:CNCA-Z-01Q-2006-038
全國:010-56542716
天津:022-27810977
常見問題&知識園地
一、引言
引言部分包含了兩個條款,,即0.1總則,、0.2與其他管理體系標(biāo)準(zhǔn)的兼容性。
0.1 總則
【內(nèi)容解析】
建立,、實(shí)施,、運(yùn)行、監(jiān)視,、評審,、保持和改進(jìn)ISO27001信息安全管理體系,應(yīng)該是一個組織整體經(jīng)營戰(zhàn)略 的一部分,,是從信息安全方面實(shí)現(xiàn)組織經(jīng)營宗旨的有效途徑之一,。也就是說,通過ISO27001信息安全管理體系的有效運(yùn)行來支持組織經(jīng)營戰(zhàn)略的實(shí)現(xiàn),,是建立,、實(shí)施、運(yùn)行,、監(jiān)視,、評審、保持和改進(jìn)ISO27001信息安全管 理體系的根本目的,,因此,,脫離了組織的經(jīng)營宗旨和經(jīng)營環(huán)境談信息安全是沒有意義的。
而本ISO27001標(biāo)準(zhǔn)則給出了信息安全管理體系的基本要求,,為信息安全管理體系的建立,、實(shí)施、運(yùn)行,、監(jiān)視,、評審、保持和改進(jìn)提供了一個有用的模型,。
從組織經(jīng)營風(fēng)險的角度考慮,,絕對安全的完美制度既無必要,也不可實(shí)現(xiàn),。系統(tǒng)地管理信息安全,,并不意味 著建立一套絕對安全的完美制度,,而應(yīng)將信息安全管理體系的建立、實(shí)施,、運(yùn)行,、監(jiān)視、評審,、保持和改進(jìn)作 為一個管理方法論,,應(yīng)用于組織信息安全的系統(tǒng)性管理,設(shè)計一套適合于組織特點(diǎn)和具體需求的信息安全管理解決方案,。
本標(biāo)準(zhǔn)提出的信息安全管理要求框架,,可以作為組織內(nèi)部和外部信息安全管理一致性評估的依據(jù),為組織發(fā) 現(xiàn)改進(jìn)其信息安全管理績效的機(jī)會,。也就是說GB/T22080-2016(ISO27001)可作為第一方審核,、第二方審核 和第三方審核的依據(jù)。
內(nèi)部和外部信息安全管理體系一致性評估的實(shí)例包括:
1)組織基于改進(jìn)其信息安全管理績效的需要,,由組織自己或其代表實(shí)施的內(nèi)部信息安全管理體系審核,;
2)組織的顧客基于招標(biāo)或評價其合作伙伴信息安全管理績效的需要,由顧客或其代表對組織信息安全管理 體系實(shí)施的審核,;
3)第三方機(jī)構(gòu)基于認(rèn)證的目的,,對組織信息安全管理體系實(shí)施的審核。
0.2 與其他管理體系標(biāo)準(zhǔn)的兼容性
【內(nèi)容解析】
為滿足持續(xù)業(yè)務(wù)運(yùn)營的要求,,組織可能將管理體系方法論用于多個領(lǐng)域的管理,,包括以產(chǎn)品和服務(wù)質(zhì)量滿足 要求為核心目的的ISO9001質(zhì)量管理體系、以污染物的產(chǎn)生和排放滿足環(huán)境管理要求為核心目的的環(huán)境管理體系,,以及以信息資產(chǎn)的安全滿足要求為核心目的的信息安全管理體系,。
無論哪一種管理體系的運(yùn)行,客觀上都是和組織的業(yè)務(wù)過程及相關(guān)支持過程伴生的,,這就為多種管理體系的 相互融合和兼容提供了現(xiàn)實(shí)可行性,。
例如,在某些種類的IC卡制造業(yè),,制卡過程的廢品率是質(zhì)量管理必須考慮的內(nèi)容,,廢品的產(chǎn)生以及處置則是 ISO14001環(huán)境管理關(guān)注的要素,而信息安全管理則需要確保廢品卡作為含有敏感信息的介質(zhì),,只能按照指定的方式和渠道予以處置,。一個經(jīng)過良好設(shè)計的管理體系規(guī)程,應(yīng)能夠保證在制造過程控制中質(zhì)量管理,、環(huán)境管理和 信息安全管理的要求同時得到滿足,。
以融合各管理體系要求的方式設(shè)計信息安全管理體系的另一個好處,可以使實(shí)施和維護(hù)管理體系所需的資源 得到最有效率的使用,從而在一定程度上可減少因運(yùn)行不同管理體系造成的機(jī)構(gòu)重疊和管理官僚化,,也可減少業(yè)務(wù)過程中的執(zhí)行人員不得不分別理解不同管理體系的要求帶來的混亂,。
關(guān)注卓越空間
關(guān)注卓越微博
關(guān)注卓越微信