关于我们 服务流程 体系验厂 客户验厂 验厂软件 EHS专题 验厂资讯 法律法规 机构介绍 验厂资料 招聘信息
     
 公司动态

常州**玩具通过ICTI认证
南通**服饰顺利通过WRAP认证 
苏州**鞋厂于顺利通过
BSCI认证
宁波**电子以零问题的成绩一次性通过
EICC认证审核并向我司来电致谢
苏州**工贸顺利通过
Target验厂
上海**贸易旗下多家LIDL工厂通过
BSCI认证
无锡**工艺品有限公司通过ETI审核
我公司南京
SA8000研讨会胜利闭幕
 5月20日
苏州奥地特企业管理咨询有限公司与厦门ITS举办行业互动活动
6月2日我公司与上海**实业签订包年
验厂咨询合同
祝贺张家港**贸易下属两家工厂通过
ICTI认证审核
6月3日苏州**科技通过
BSCI验厂
6月4日常熟**电子通过
ICTI验厂
6.月5日张家港**鞋业司通过
ETI验厂
6月4日镇江**体育用品厂
FSC认证取得良好成绩
6月10日我公司
BSCI研讨会在苏州召开
6月11日苏州**贸易接受我公司
BSCI认知培训
6月13日如皋**数码
Best Buy验厂取得历年来最好成绩
6月13日海门**时装
C-TPAT验厂过关
6月13日南通**服饰
BSCI验厂合格
6月13日如东**时装
ICTI认证中取得A证
6月14日通州市**袜业取得
WRAP认证证书
热烈祝贺我公司员工Charly月15日获得ISO外审员资格证书
6月29日我公司CSR研讨会在无锡召开
10月28日苏州XX服饰在我公司辅导下通过
BSCI认证,被审核员誉为苏州最优服装工厂
10月29日苏州奥地特企业管理咨询有限公司,召开公司大会公布上半年业绩,累计辅导企业322家,一次性通过率95%
12月18日,苏州奥地特企业对厦门27家外贸公司开展BSCI认知培训公开课
扬州zy玩具ICTI认证取得优异成绩
2010我公司业绩大幅增长,全年累计辅导工厂达903家!
2011年3月,帮助83家工厂通过验厂(其中ICTI认证5家)
2011年4月,帮助75家工厂通过验厂(其中EICC认证3家,ICTI认证2家)
2011年5月,帮助79家工厂通过验厂(其中,ICTI认证2家,SA8000认证2家)
 用户登录
用户名:
密 码:
新用户注册 忘记密码?
 业务范围
· 社会责任/体系验厂咨询
· 客户COC验厂咨询
· 品质验厂咨询
· 验厂整体解决方案
 在线咨询
 资料下载
· Sedex会员AB类Members列表
· SEDEX会员A类Members列表
· BSCI会员名单BSCI Members20170707.pdf
· EICC行为守则5.0版
· EICC行为守则4.0
· ICTI申请表
· 索尼集团行为规范准则
· bestseller(行为守则)
 
您的位置: 企业社会责任网 --> 国际标准体系-27000介绍  
BS7799标准概述

BS7799标准概述:

1995 年,英国贸工部根据英国国内企业对信息安全日益高涨的呼声,组织大企业的信息安全经理们,制定了世界上第一个信息安全管理体系标准 BS7799-1 : 1995 《信息安全管理实施规则》,作为工商业和大、中、小型组织实施信息安全管理的指南。由于该标准采用建议和指导方式编写,因而不宜作为认证标准使用。
 1998 年,为了适应第三方认证的需要,英国又制定了第一个信息安全管理体系认证标准 --BS7799-2 : 1998 《信息安全管理体系规范》,作为对一个组织的全面或部分信息安全管理体系进行评审认证的依据标准。
 1999 年,鉴于计算机和信息处理技术,尤其是网络和通信领域应用的迅速发展,英国又对信息安全管理体系标准进行了修订。修订后的 BS7799-1 : 1999 和 BS7799-2 : 1999 分别取代了 BS7799-1 : 1995 和 BS7799-2 : 1998 。新修订的 1999 版标准进一步强调了组织在商务工作中所涉及的信息安全和信息安全责任。 BS7799-1 : 1999 和 BS7799-2 : 1999 是一对配套标准, BS7799-1 : 1999 为如何建立和实施符合 BS7799-2 : 1999 标准要求的信息安全管理体系提供了最佳的应用建议。
 2000 年 12 月, BS7799-1 : 1999 已经被 国际标准化组织/IEC 正式采纳成为国际标准 -- 国际标准化组织/IEC 17799 : 2000 《信息技术信息安全管理实施规则》,另外, BS7799-2 : 1999 也即将于 2002 年底被 国际标准化组织/IEC 作为蓝本修订后成为可用于认证的 国际标准化组织/IEC 的《信息安全管理体系规范》。

 

BS7799的信息管理过程:
        ①确定信息安全管理方针。
        ②确定 ISMS( 信息安全管理体系的范围
        ③进行风险分析。
        ④选择控制目标并进行控制。
        ⑤建立业务持续计划。
        ⑥建立并实施安全管理体系。

 

信息安全认证是实现信息安全目标的最佳途径:
 
        BS7799-22002信息安全管理体系规范向组织提出了一系列认证的要求,在总则中提出组织应建立并保持一个文件化的信息安全管理体系,阐述被保护的资产、组织风险管理的渠道、控制目标及控制方式和需要的保证等级;通过建立管理架构并加以实施来达到识别控制目标和控制方式,并形成文件和记录。
 
        BS7799-22002的控制细则包括10个方面:  
安全方针:为信息安全提供管理指导和支持;
 组织安全:建立信息安全架构,保证组织的内部管理;被第三方访问或外协时,保障组织的信息安全;
 资产的归类与控制:明确资产责任,保持对组织资产的适当保护;将信息进行归类,确保信息资产受到适当程度的保护;
 人员安全:在工作说明和资源方面,减少因人为错误、盗窃、欺诈和设施误用造成的风险;加强用户培训,确保用户清楚知道信息安全的危险性和相关事项,以便在他们的日常工作中支持组织的安全方针;制定安全事故或故障的反应程序,减少由安全事故和故障造成的损失,监控安全事件并从这种事件中吸取教训;
 实物与环境安全:确定安全区域,防止非授权访问、破坏、干扰商务场所和信息;通过保障设备安全,防止资产的丢失、破坏、资产危害及商务活动的中断;采用通用的控制方式,防止信息或信息处理设施损坏或失窃;
 通信和操作方式管理:明确操作程序及其责任,确保信息处理设施的正确、安全操作;加强系统策划与验收,减少系统失效风险;防范恶意软件以保持软件和信息的完整性;加强内务管理以保持信息处理和通讯服务的完整性和有效性通过 加强网络管理确保网络中的信息安全及其辅助设施受到保护;通过保护媒体处理的安全 防止资产损坏和商务活动的中断;加强信息和软件的交换的管理,防止组织间在交换信息时发生丢失、更改和误用;
 访问控制:按照访问控制的商务要求,控制信息访问;加强用户访问管理,防止非授权访问信息系统;明确用户职责,防止非授权的用户访问;加强网络访问控制,保护网络服务程序;加强操作系统访问控制 防止非授权的计算机访问;加强应用访问控制,防止非授权访问系统中的信息;通过监控系统的访问与使用,监测非授权行为;在移动式计算和电传工作方面 确保使用移动式计算和电传工作设施的信息安全;
 系统开发与维护:明确系统安全要求,确保安全性已构成信息系统的一部份;加强应用系统的安全,防止应用系统用户数据的丢失、被修改或误用;加强密码技术控制,保护信息的保密性、可靠性或完整性;加强系统文件的安全,确保 IT 方案及其支持活动以安全的方式进行;加强开发和支持过程的安全,确保应用系统软件和信息的安全;
 商务连续性管理:防止商务活动的中断及保护关键商务过程不受重大失误或灾难事故的影响;
 符合:符合法律法规要求,避免刑法、民法、有关法令法规或合同约定事宜及其他安全要求的规定相抵触;加强安全方针和技术符合性评审,确保体系按照组织的安全方针及标准执行;系统审核考虑因素,使效果最大化 并使系统审核过程的影响最小化。  
         在国际标准 国际标准化组织/国际电工委员会17799 给出了为实现信息安全认证所需的各项措施的详细指导,具有很强的可操作性和指导性。
 
        归根结底,信息安全工作的目的就是在法律、法规、政策的支持与指导下,通过采用合适的安全技术与安全管理措施,提供安全需求的保证,而 BS7799 信息安全认证标准正是总和了这些要求。组织可以根据自身特点,在 国际标准化组织/国际电工委员会 17799 指导下,实现信息安全的要求。
 

国际标准化组织27001较BS7799-2有哪些修订?

 

BS7799部分2:2002(条款号)

27001:2005(条款号)

变化和差异的注解

1.2应用

1.2应用

确定对国际标准化组织/国际电工委员会 27001条款4-8的删减都是不可接受的,解释在何种情况下对控制进行了删减是可能的。

3术语和定义

3术语和定义

国际标准化组织/国际电工委员会 13335-1:2004,国际标准化组织/国际电工委员会 TR 18044:2004和国际标准化组织/国际电工委员会指南 73:2002中添加定义。
改变部分现有定义以配合国际标准化组织/国际电工委员会 13335-1:2004标准。重新明确定义了“风险处理”和“适用性声明”。

4.2.1 建立ISMS项目a) 定义ISMS的范围

4.2.1 建立ISMS
项目a)定义ISMS的范围和界线

现在,定义了ISMS的“范围和界线”的要求。要求包括:1、说明在范围内的部分2、解释被排除在范围外的理由。

项目c)定义风险评估的系统方法

在项目c) 中的第二句“定义组织的风险评估方法”被删除后新增了一条。

新增一条对现有的要求进行阐明和补充。
同时声明风险评估方法应产生可比较、可重复的结果。

项目g)为风险处理选择控制目标及控制。

项目g)“为风险处理选择控制目标及控制”已经被延伸了。

现有的要求加上了这样的阐释:选择应该考虑到在法律、法规及合同的要求范围内接受风险的标准。

项目h)准备适用性声明。

项目j)添加了新项目j)2)“准备适用性声明”。

阐明了现有关于适用性声明的要求。
现在强调它要包括当前实施的控制目标及控制。

4.22实施和运作ISMS

 

4.22实施和运作ISMS
新增项目d) 定义如何测量有效性。

这可能是实施和运作ISMS过程中最大的改变,要求定义如何测量控制及控制组合的有效性,要求详细列出测量方法使控制效果评估产生可比较、可重复的结果。

4.2.3监控和评审ISMS
项目a)执行监控程序及其它的控制。

4.2.3监控和评审ISMS
项目a) 4)添加了“执行监控程序及其它的控制以探测安全事件”。
项目c)添加了“测量控制的效力”。

阐明了有助于预防安全事故的安全事件探测。
包括使用指标。

项目c)评审剩余风险和可接受风险。

新增项目d) 5)按计划的时间间隔评审风险评估,评审剩余风险和可接受风险,评审时要考虑现行控制的有效性的变化。
新增项目g)更新安全计划

与4.2.2.d结合以监控ISMS的效力。
现有要求的阐述,帮助监测现行控制的效果。
阐述和补充了以下要求:根据监控评审活动的发现来监控评审ISMS以更新安全计划的要求。

4.31概要

4.31概要第一段

阐明:文件要包括管理决策的记录,活动要根据管理决策和方针进行,记录/结果是可重复的。

 

第二段

新增一句说明所选择的控制与风险评估和风险处理过程的关系,以及与ISMS方针和目标的关系。

 

新增项目d)风险评估方法的描述

风险评估方法的描述要包含在文件中。

项目e)文件化的程序

项目g)“文件化的程序”已经被更新了

阐明并补充了描述如何测量控制的有效性的要求。

4.3.2文件控制

4.3.2文件控制
新增项目f) 确保文件是可用的

阐述了确保使用者可以获得所需文件的要求,及文件的转移存储和最终处置要按照合适的等级来处理。

5.1管理承诺

5.1管理承诺
新增项目g)保证ISMS内部审核得到管理。

在管理承诺中声明确保ISMS内部审核得到管理。

条款6.1 到6.3

条款7.1 到7.3

移动的章节

条款7.1 到7.3

条款8.1 到8.3

移动的章节

6.2评审输入

7.2评审输入
新增项目f) 有效性测量的结果

移动的章节
新增了有效性测量的结果。

6.3评审输出

7.3评审输出
新增项目b)更新风险评估和风险处理计划。

移动的章节
阐明确保更新风险评估和风险处理计划。

项目c) 必要时,修改影响信息安全的程序,以响应对ISMS造成影响的内外事件。

项目c) 必要时,修改影响信息安全的程序和控制,以响应对ISMS造成影响的内外事件。包括合同责任的改变。

阐明包括合同责任的改变。

 

新增项目e)改进控制有效性的测量方法。

加进了“改进控制效力的测量方法。”的声明。

6.4 ISMS内部审核

6.4ISMS内部审核

现在是第六章的唯一要求。

7.3预防措施

8.3预防措施
项目8.3b)“评估采取措施预防不符合发生的必要性”

移动的章节
阐明预防措施。评估采取措施预防不符合发生的必要性

附录A

附录A

根据国际标准化组织/国际电工委员会 17799:2005的修订版本更新附录A

附录B和表B1

附录B

除了说明OECD原则和本国际标准之间的关系的表格外,其他被删除。删除的部分可能被国际标准化组织/国际电工委员会作为发展成新指南的基础。

附录C

附录C

更新后的版本

附录D

 

从 27001:2005版本中删除。

验厂咨询请致电奥地特(AUDIT)0512-66355405或发送邮件至service@ccsrcenter.com;国内权威咨询机构

本文最终解释权归奥地特企业管理咨询有限公司,转载须注明http://www.ccsrcenter.com,版权所有,违者必究.

返回上一页
首页 | 关于我们 | 服务流程 | 体系验厂 | 客户验厂 | 验厂软件 | EHS专题 | 验厂资讯 | 法律法规 | 机构介绍 | 验厂资料 | 招聘信息 | 联系我们
版权所有:苏州奥地特企业管理咨询有限公司 Http://www.CCSRcenter.com       网站地图
地址:苏州吴中经济开发区东吴南路153号凯悦大厦16F-06 Support:验厂专家CCSRcenter.com
BSCI认证  WRAP认证  SEDEX/SMETA  ICTI认证  C-TPAT认证  沃尔玛验厂  EICC认证  SA8000认证  FSC认证  验厂咨询