安信達咨詢公司將為仙樂健康提供全面的ISO27001信息安全體系建設(shè)與認證咨詢服務(wù)，幫助其建立完善的信息安全管理體系，確保企業(yè)信息的安全性和保密性。

作為仙樂健康的合作伙伴，安信達咨詢公司擁有專業(yè)的信息安全咨詢團隊和多年的經(jīng)驗，能夠根據(jù)企業(yè)的實際情況和需求，制定個性化的咨詢方案，確保企業(yè)信息安全管理體系的建立和實施。

通過本次咨詢項目，仙樂健康將能夠建立一套完整的信息安全管理體系，包括信息資產(chǎn)分類、風險評估、安全控制措施的制定和實施、安全事件的應(yīng)急響應(yīng)等。同時，安信達咨詢公司還將協(xié)助仙樂健康進行ISO27001認證申請，確保企業(yè)信息安全管理體系的符合性和有效性。

通過本次咨詢和認證服務(wù)，仙樂健康將能夠提高企業(yè)信息安全的水平，增強客戶信任度和滿意度，同時也可以提升企業(yè)在市場上的競爭力和品牌形象。

安信達咨詢公司將繼續(xù)致力于為企業(yè)提供更優(yōu)質(zhì)的信息安全管理體系建設(shè)和認證咨詢服務(wù)，幫助企業(yè)提高信息安全水平，降低信息安全風險。

仙樂健康成立于1993年，是全球主要的營養(yǎng)健康食品合同開發(fā)與制造商之一。

產(chǎn)品涵蓋軟膠囊、Plantegrity?素怡?植物膠軟膠囊、營養(yǎng)軟糖、片劑、硬膠囊、粉劑、健康飲品、益生菌等多個劑型。

我們?yōu)榭蛻籼峁┌óa(chǎn)品開發(fā)、制造、包裝和物流在內(nèi)的一站式解決方案。

信息安全咨詢機構(gòu)

The post 安信達咨詢?yōu)橄蓸方】堤峁㊣SO27001信息安全體系建設(shè)與認證咨詢服務(wù) first appeared on 深圳市安信達咨詢有限公司.

我們很高興地宣布，安信達咨詢已成功與三新控股集團達成協(xié)議，將為其提供全面的ISO27001信息安全體系落地咨詢和培訓服務(wù)。

作為中國領(lǐng)先的管理咨詢服務(wù)提供商，安信達咨詢一直致力于為各行業(yè)企業(yè)提供專業(yè)、高效的解決方案。此次與三新控股集團的合作，我們將運用我們的專業(yè)知識和豐富經(jīng)驗，幫助其建立并實施符合ISO27001標準的信息安全管理體系，以提升其信息安全管理能力，保障企業(yè)數(shù)據(jù)的安全性。

ISO27001是國際標準化組織（ISO）制定的一項信息安全管理體系標準，旨在幫助企業(yè)保護敏感信息，防止數(shù)據(jù)泄露或濫用，確保業(yè)務(wù)連續(xù)性和合規(guī)性。通過此次合作，三新控股集團將能夠更好地滿足ISO27001的要求，進一步增強其在市場中的競爭力，并贏得客戶和合作伙伴的信任。

安信達咨詢將在接下來的時間里，派遣專業(yè)的咨詢團隊進駐三新控股集團，進行詳細的業(yè)務(wù)流程分析和改進方案設(shè)計。同時，我們也將為三新控股集團員工提供系統(tǒng)化的培訓，確保他們充分理解和掌握ISO27001的相關(guān)知識和要求。

我們期待通過這次合作，助力三新控股集團實現(xiàn)更高的信息安全目標，同時也希望我們的專業(yè)服務(wù)能夠為更多的企業(yè)提供價值。感謝所有關(guān)注和支持我們的朋友們，讓我們共同期待這一項目的成功實施！

三新控股集團公司簡介：
廣州三新控股集團（簡稱“三新集團”）創(chuàng)立于1989年，集團總部位于廣州，是華南地區(qū)早期大型民營企業(yè)集團之一。
30多年來，三新集團始終專注在產(chǎn)業(yè)投資領(lǐng)域深耕細作，成功構(gòu)建以智能制造、不動產(chǎn)管理、清潔能源、環(huán)境治理四大板塊為核心的綜合產(chǎn)業(yè)生態(tài)鏈，并在各自領(lǐng)域逐步成為行業(yè)龍頭。
目前集團資產(chǎn)規(guī)模超200億元，業(yè)務(wù)遍及全球多個國家和地區(qū)，員工超5000人。未來，三新將秉承“正直、探索、堅韌”的核心價值觀，持續(xù)提升投資能力，創(chuàng)造真實價值，力爭成為無愧于偉大新時代的民族企業(yè)。

下屬業(yè)務(wù)板塊：
一、智能制造:萬家樂
廣東萬家樂燃氣具有限公司成立于1985年，注冊資金5.15億元，總部位于佛山順德。
1988年，萬家樂***臺高品質(zhì)燃氣熱水器為“中國老百姓能洗上熱水澡而生，開創(chuàng)中國燃氣熱水器規(guī)?；a(chǎn)的先河，改變了國人傳承千年的洗浴生活。
30余年情系萬家，如今萬家樂已擁有8家子公司，銷售規(guī)模近40億元，在全國有超過13000家專賣店，員工2500人，累計用戶達8千萬同時擁有1378項專利、100項國家、行業(yè)標準制定及500項國內(nèi)外權(quán)威行業(yè)大獎，成為實至名歸的中國熱水專家，做中國菜的廚電知名品牌。
萬家樂，樂萬家。
二、不動產(chǎn):房地產(chǎn)開發(fā)與物業(yè)管理
房地產(chǎn)開發(fā)是三新集團的主營業(yè)務(wù)和發(fā)展基礎(chǔ)，集團選擇了廣州與上海為重點，總開發(fā)規(guī)模達111.2多萬平方米。
商業(yè)物業(yè):目前集團持有商業(yè)物業(yè)的市場價值超過人民幣30億元。在廣州持有位于天河區(qū)中心的寫字樓三新大廈以及位于珠江新城核心區(qū)的商住綜合體南天廣場等商業(yè)物業(yè)。其中南天廣場為珠江新城大型商住綜合體項目。
住宅開發(fā):集團先后在廣州開發(fā)過南洲花園恒城大廈、金麟臺、鳳安花園、錦源國際等大型住宅小區(qū)；在上海浦東開發(fā)了包括浦江茗園和濱江茗園等大型住宅項目，其中浦江茗園獲建筑工程魯班獎。
物業(yè)管理:集團屬下廣州三新物業(yè)管理有限公司成立于1997年目前管理樓宇涉及智能化高檔寫字樓、智能化商住樓、大型商場、住宅小區(qū)等總建筑面積達100萬平方米，擁有專業(yè)管理服務(wù)人員200多名，服務(wù)客戶近5000戶，服務(wù)人群達2萬人以上。
三、清潔能源:工業(yè)園及電力投資
五沙熱電工業(yè)園占地面積1200畝，三新集團擁有全部土地使用權(quán)。以五沙熱電燃煤發(fā)電機組為供熱熱源，集中向順德工業(yè)園區(qū)和緊鄰的南沙、番禺所屬工業(yè)區(qū)進行集中供熱。目前園區(qū)共進駐了20多家企業(yè)。園區(qū)產(chǎn)值超過30億元，是珠三角地區(qū)主要供熱工業(yè)園之一。五沙熱電有限公司位于佛山順德，現(xiàn)有兩臺320MW“熱電聯(lián)供”發(fā)電機組，總裝機容量640MW，供熱能力200噸/小時，是國家在廣東省“上大壓小”總體部署的首批實施項目。目前五沙熱電廠內(nèi)外已供汽企業(yè)達24家，并在電廠周邊建設(shè)熱電循環(huán)經(jīng)濟產(chǎn)業(yè)區(qū)，致力運營成為一個企業(yè)效益和社會效益共贏的“綠色能源環(huán)保項目”。
四、環(huán)境治理:環(huán)保集團
廣東三新能源環(huán)保有限公司成立于2003年注冊資金人民幣1.16億元，公司致力于環(huán)保基礎(chǔ)設(shè)施的投資、運營和管理，現(xiàn)主要業(yè)務(wù)涵蓋城市生活污水處理、工業(yè)污水處理、固體廢棄物處理及資源化利用、燃煤鍋爐煙氣治理等領(lǐng)域。
公司現(xiàn)已形成以廣東省及長江三角洲為基地，輻射全國的業(yè)務(wù)發(fā)展態(tài)勢，未來將聚焦城鄉(xiāng)水環(huán)境治理、工業(yè)園區(qū)環(huán)保綜合服務(wù)、固廢（危廢）處置及資源化利用，為現(xiàn)代城鄉(xiāng)環(huán)境保護和可持續(xù)發(fā)展提供生態(tài)環(huán)保綜合服務(wù)。

關(guān)于安信達咨詢：
安信達咨詢是一家專注于提供企業(yè)管理和戰(zhàn)略咨詢服務(wù)的專業(yè)機構(gòu)，擁有豐富的行業(yè)經(jīng)驗和專業(yè)的咨詢團隊。我們致力于幫助企業(yè)提升運營效率，優(yōu)化管理模式，實現(xiàn)可持續(xù)發(fā)展。

信息安全咨詢機構(gòu)

The post 安信達咨詢?yōu)槿驴毓商峁㊣SO27001信息安全體系落地咨詢和培訓服務(wù) first appeared on 深圳市安信達咨詢有限公司.

2023年9月，安賽咨詢公司中標越秀地產(chǎn)ISO20000與ISO27001體系建設(shè)與認證咨詢項目。

ISO20000運維服務(wù)體系和ISO27001信息安全管理體系是兩個重要的管理體系，它們在企業(yè)中的實施可以帶來多方面的好處。

首先，實施ISO20000運維服務(wù)體系可以提高企業(yè)的運維服務(wù)水平。該體系要求企業(yè)建立一套完善的運維服務(wù)流程，包括服務(wù)規(guī)范、服務(wù)級別協(xié)議、服務(wù)臺、服務(wù)支持、服務(wù)監(jiān)控等，以確保企業(yè)的運維服務(wù)能夠滿足客戶的需求。通過實施ISO20000，企業(yè)可以更好地管理運維服務(wù)，提高服務(wù)質(zhì)量和效率，降低運維成本，提升客戶滿意度。

其次，實施ISO27001信息安全管理體系可以提高企業(yè)的信息安全水平。該體系要求企業(yè)建立一套完善的信息安全管理體系，包括信息安全策略、風險評估、安全管理組織、安全控制措施等，以確保企業(yè)的信息資產(chǎn)得到有效的保護。通過實施ISO27001，企業(yè)可以更好地管理信息安全，降低信息安全風險，保護企業(yè)的核心信息資產(chǎn)，提高企業(yè)的聲譽和競爭力。

此外，實施ISO20000和ISO27001還可以幫助企業(yè)符合相關(guān)法律法規(guī)和標準要求，提高企業(yè)的合規(guī)性和可信度。同時，這兩個體系的實施也可以提高企業(yè)的管理水平和員工素質(zhì)，促進企業(yè)的持續(xù)發(fā)展。

綜上所述，實施ISO20000運維服務(wù)體系和ISO27001信息安全管理體系對企業(yè)來說是非常有益的，可以幫助企業(yè)提高服務(wù)水平和信息安全水平，提高企業(yè)的合規(guī)性和可信度，促進企業(yè)的持續(xù)發(fā)展。

越秀地產(chǎn)成立于1983年，1992年于香港上市(股票代碼: 00123.HK)，是全國第一批成立的綜合性房企之一、中國第一代商品房的締造者、第一家房地產(chǎn)紅籌公司，擁有全球第一只投資于中國內(nèi)地物業(yè)的香港上市房地產(chǎn)投資信托基金——越秀房托(00405.HK)，控有TOD綜合物管服務(wù)規(guī)模最大的全國百強物服企業(yè)——越秀服務(wù)（06626.HK）。公司位列中國地產(chǎn)TOP20、廣州市場TOP1，財務(wù)安全穩(wěn)健，連續(xù)多年“三道紅線”保持“綠檔”，截至2022年底，總資產(chǎn)超3400億元，總土地儲備超2800萬平方米。

母公司越秀集團是中國跨國公司15強企業(yè)、國務(wù)院國企改革“雙百企業(yè)”，目前已形成以房地產(chǎn)、金融、交通基建、食品為核心的“4+X”現(xiàn)代產(chǎn)業(yè)體系，擁有越秀地產(chǎn)、越秀資本、越秀房托、越秀服務(wù)、越秀交通基建和華夏越秀高速REIT等六家上市平臺，截至2022年底，越秀集團總資產(chǎn)超9600億元。

40年來，越秀地產(chǎn)堅守“成就美好生活”品牌使命，踐行“商住并舉”發(fā)展戰(zhàn)略，發(fā)揮“開發(fā)+運營+金融”特色商業(yè)模式競爭優(yōu)勢，深度布局中國最具活力的經(jīng)濟帶，形成了以粵港澳大灣區(qū)為核心，以華東、中西部、北方為重要支撐的全國化戰(zhàn)略布局，進駐全國30個一線和強二線城市，開發(fā)大型住宅項目300多個，服務(wù)超100萬業(yè)主，擁有包括廣州國際金融中心在內(nèi)的50多個大型商業(yè)物業(yè)。

近年來公司響應(yīng)國家號召、順應(yīng)市場形勢，積極布局康養(yǎng)產(chǎn)業(yè)、長租公寓、城市更新、教育以及其他地產(chǎn)+新興業(yè)務(wù)領(lǐng)域，引入廣州地鐵成為戰(zhàn)略股東，合力開拓“軌交+物業(yè)”TOD發(fā)展模式，全方位多維度滿足人民對美好生活的多元需求。

越秀地產(chǎn)始終以客戶為中心，堅持“長期主義”發(fā)展理念，構(gòu)建新能力、完善新機制、擁抱新文化，著力實施精益管理，推動公司高質(zhì)量發(fā)展，打造擁有“好產(chǎn)品、好服務(wù)、好品牌、好團隊”的四好企業(yè)，致力于成為城市美好生活創(chuàng)領(lǐng)者。

信息安全咨詢機構(gòu)

The post 安信達咨詢中標越秀地產(chǎn)ISO27001&ISO20000體系建設(shè)與認證咨詢項目 first appeared on 深圳市安信達咨詢有限公司.

企業(yè)推行ISO9001、ISO20000、ISO27001認證的好處如下：

提高質(zhì)量管理水平：ISO9001認證是國際通用的質(zhì)量管理體系標準，可以幫助企業(yè)建立科學的質(zhì)量管理體系，規(guī)范企業(yè)的質(zhì)量管理活動，提高質(zhì)量管理水平。
提高IT服務(wù)管理水平：ISO20000認證是國際通用的IT服務(wù)管理體系標準，可以幫助企業(yè)建立科學的IT服務(wù)管理體系，規(guī)范IT服務(wù)管理活動，提高IT服務(wù)管理水平。
提高信息安全保障能力：ISO27001認證是國際通用的信息安全管理體系標準，可以幫助企業(yè)建立科學的信

信息安全咨詢機構(gòu)

息安全管理體系，明確信息安全目標、政策和程序，提高信息安全保障能力。
此外，通過ISO認證，企業(yè)還可以提高管理效率，降低管理成本，增強市場競爭力，提升企業(yè)形象。

越秀集團于1985年在香港成立。經(jīng)過三十八年的改革發(fā)展，越秀集團已形成以金融、房地產(chǎn)、交通基建、食品為核心產(chǎn)業(yè)，造紙等傳統(tǒng)產(chǎn)業(yè)和未來可能進入的戰(zhàn)略性新興產(chǎn)業(yè)在內(nèi)的“4+X”現(xiàn)代產(chǎn)業(yè)體系，是國務(wù)院國企改革“雙百企業(yè)”。

2022中國企業(yè)500強榜單，集團位列第262位，排名較2021年上升37位。集團還獲評2022中國100大跨國公司，位列第11位。2022年集團統(tǒng)計口徑總資產(chǎn)約9652億元；營業(yè)收入1125.1億元，同比增長20%；利潤總額169.9億元。越秀集團控有越秀資本、越秀地產(chǎn)、越秀交通基建、越秀房托基金、越秀服務(wù)、華夏越秀高速REIT等六家上市平臺。

地產(chǎn)板塊中，越秀地產(chǎn)是全國性的綜合房地產(chǎn)開發(fā)商，“住宅+商業(yè)+新業(yè)務(wù)”全面發(fā)力，呈現(xiàn)出快速擴張態(tài)勢。目前戰(zhàn)略布局30個核心城市，土地資源貨值近4500億元；2022年合同銷售額接近1250億元。歷年來開發(fā)了200余個住宅項目和以華南第一高樓廣州國際金融中心為代表的40多個商業(yè)地產(chǎn)項目，商業(yè)地產(chǎn)價值雄踞上市公司類房企前列；公司戰(zhàn)略性布局中國最具活力的經(jīng)濟帶，業(yè)務(wù)已擴張至全國近20個一線城市和強二線城市，形成了粵港澳大灣區(qū)、華中、華東、北方、西部五大核心區(qū)域。近年來積極布局養(yǎng)老產(chǎn)業(yè)、長租公寓、城市更新、產(chǎn)業(yè)地產(chǎn)等新興業(yè)務(wù)領(lǐng)域，同時引入廣州地鐵成為戰(zhàn)略股東，合力開拓“軌交+物業(yè)”TOD發(fā)展模式。越秀房地產(chǎn)投資信托基金是全球首只投資中國內(nèi)地物業(yè)的房地產(chǎn)投資信托基金，旗下控有廣州核心商業(yè)區(qū)域的白馬大廈、財富廣場、城建大廈、維多利廣場、廣州國際金融中心，位于上海陸家嘴竹園CBD的越秀大廈以及武漢越秀財富中心及星匯維港購物中心等高素質(zhì)物業(yè)，物業(yè)產(chǎn)權(quán)面積共近100萬平方米。

金融板塊在境內(nèi)外擁有兩個金控平臺以及銀行、資產(chǎn)管理、租賃、產(chǎn)業(yè)基金、期貨、擔保、小貸等多個金融業(yè)務(wù)子公司，目前總資產(chǎn)超過4000億元人民幣。其中，越秀資本于2016年重組上市，是國內(nèi)首個地方金控上市平臺，目前已成為中信證券第二大股東；創(chuàng)興銀行擁有70余年的歷史，現(xiàn)為越秀集團全資持有。

越秀交通基建有限公司主要從事高速公路、橋梁、碼頭等資產(chǎn)的投資、運營、管理和建設(shè)。越秀交通現(xiàn)有在管項目18個（高速公路、橋梁、碼頭），包括位于廣東省的廣州北二環(huán)高速公路、廣州西二環(huán)高速公路、廣州北環(huán)高速公路、琶洲港澳客運口岸、虎門大橋、汕頭海灣大橋、清連高速公路；位于湖北省的漢孝高速公路、漢蔡高速公路、漢鄂高速公路、大廣南高速公路、隨岳南高速公路；位于河南省的尉許高速公路、蘭尉高速公路；位于湖南省的長株高速公路；位于廣西壯族自治區(qū)的蒼郁高速公路；位于天津市的津雄高速公路等，總收費里程約960公里。

越秀食品集團有限公司始建于1949年，前身為廣州市農(nóng)場管理局、廣州市國營農(nóng)工商聯(lián)合總公司、廣州市農(nóng)工商集團有限公司、廣州風行發(fā)展集團有限公司，是一家以乳業(yè)為主體，以畜牧養(yǎng)殖業(yè)和現(xiàn)代服務(wù)業(yè)為支撐的都市型現(xiàn)代農(nóng)業(yè)產(chǎn)業(yè)集團，構(gòu)建了乳業(yè)、生豬、蛋雞全產(chǎn)業(yè)鏈。目前為廣東企業(yè)500強、廣東服務(wù)業(yè)100強。

The post 安信達咨詢再次中標越秀集團ISO27001&ISO20000認證咨詢項目 first appeared on 深圳市安信達咨詢有限公司.

ISO27001認證

2022年10月，安信達咨詢成功簽約深圳某著名上市醫(yī)療器械企業(yè)，為該公司提供ISO27001信息安全認證咨詢與培訓服務(wù)。同時于10月31日下午順利召開啟動大會，該公司首席科學家與數(shù)位副總裁參與啟動大會，并做重要講話。

什么是ISO27001信息安全管理體系
ISO27001信息安全管理體系，即Information Security Management System(簡稱ISMS)，是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標，以及完成這些目標所用的方法和體系。它是直接管理活動的結(jié)果，表示為方針、原則、目標、方法、計劃、活動、程序、過程和資源的集合。
BS7799－2是建立和維持信息安全管理體系的標準，標準要求組織通過確定信息安全管理體系范圍，制定信息安全方針，明確管理職責，以風險評估為基礎(chǔ)選擇控制目標與控制措施等一系列活動來建立信息安全管理體系；體系一旦建立，組織應(yīng)按體系的規(guī)定要求進行運作，保持體系運行的有效性；信息安全管理體系應(yīng)形成一定的文件，即組織應(yīng)建立并保持一個文件化的信息安全管理體系，其中應(yīng)闡述被保護的資產(chǎn)、組織風險管理方法、控制目標與控制措施、信息資產(chǎn)需要保護的程度等內(nèi)容。

The post 安信達咨詢成功簽約深圳某著名上市醫(yī)療器械企業(yè)ISO27001信息安全認證項目 first appeared on 深圳市安信達咨詢有限公司.

隨著新版ISO/IEC 27002的修訂發(fā)布，ISO 27001的改版動向也備受關(guān)注，本次修訂將觸發(fā)對ISO/IEC 27001進行部分更新及修訂，確保其附錄A與ISO/IEC 27002:2022標準保持一致。關(guān)于ISO/IEC 27001過渡計劃的詳細信息預(yù)計將于2022年下半年發(fā)布。

相比2013版，新版ISO/IEC 27002:2022做了哪些關(guān)鍵的變化？

標準名稱&結(jié)構(gòu)調(diào)整

標準不再被稱為“控制實踐指南”，標準的新標題為“信息安全、網(wǎng)絡(luò)安全和隱私保護-信息安全控制”。

標準結(jié)構(gòu)發(fā)生了變化：全文共有8個章節(jié)和2個附錄。

控制項數(shù)量

新版本中列舉的控制項數(shù)量從114個減少到93個，新增了11個控制項，合并了部分控制項，并刪除了部分控制項。

控制域和控制重新劃分

新版標準中的93個控制被重新劃分為 4 個域，且與5個屬性相關(guān)聯(lián)。
組織控制 37

人員控制 8

物理控制 14

技術(shù)控制 34

增加了屬性描述

新版標準對每項控制增加了一項屬性描述，提供了一種標準化的方式對不同視角的控制進行排序和篩選，以滿足不同組織的需求。

標準內(nèi)容更加全面性

其描述了全球范圍內(nèi)與越來越多地使用云端服務(wù)的信息安全風險、網(wǎng)絡(luò)安全風險等有關(guān)的變化，并納入了與威脅情報、數(shù)據(jù)泄漏防護、使用云端服務(wù)的信息安全、全球安全監(jiān)控和數(shù)據(jù)屏蔽等有關(guān)的主題。

新版ISO/IEC 27002:2022增加了網(wǎng)絡(luò)安全和隱私保護方面的內(nèi)容，為組織的合規(guī)性運營提供了新的保障點，適用于任何有信息安全、并期望通過信息安全控制以實現(xiàn)最佳實踐的組織。企業(yè)應(yīng)在原有控制措施基礎(chǔ)上，重點加強對隱私和網(wǎng)絡(luò)安全的關(guān)注。

The post 【轉(zhuǎn)】新版ISO/IEC 27002:2022關(guān)鍵變化解讀 first appeared on 深圳市安信達咨詢有限公司.

什么是ISO27001信息安全管理體系
ISO27001信息安全管理體系，即Information Security Management System(簡稱ISMS)，是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標，以及完成這些目標所用的方法和體系。它是直接管理活動的結(jié)果，表示為方針、原則、目標、方法、計劃、活動、程序、過程和資源的集合。
BS7799－2是建立和維持信息安全管理體系的標準，標準要求組織通過確定信息安全管理體系范圍，制定信息安全方針，明確管理職責，以風險評估為基礎(chǔ)選擇控制目標與控制措施等一系列活動來建立信息安全管理體系；體系一旦建立，組織應(yīng)按體系的規(guī)定要求進行運作，保持體系運行的有效性；信息安全管理體系應(yīng)形成一定的文件，即組織應(yīng)建立并保持一個文件化的信息安全管理體系，其中應(yīng)闡述被保護的資產(chǎn)、組織風險管理方法、控制目標與控制措施、信息資產(chǎn)需要保護的程度等內(nèi)容。

ISO27001標準的主要內(nèi)容
ISO/IEC27001對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用。該標準為開發(fā)組織的安全標準和有效的安全管理做法提供公共基礎(chǔ)，并為組織之間的交往提供信任。
標準指出“象其他重要業(yè)務(wù)資產(chǎn)一樣，信息也是一種資產(chǎn)”。它對一個組織具有價值，因此需要加以合適地保護。信息安全防止信息受到的各種威脅，以確保業(yè)務(wù)連續(xù)性，使業(yè)務(wù)受到損害的風險減至最小，使投資回報和業(yè)務(wù)機會最大。
信息安全是通過實現(xiàn)一組合適控制獲得的。控制可以是策略、慣例、規(guī)程、組織結(jié)構(gòu)和軟件功能。需要建立這些控制，以確保滿足該組織的特定安全目標。

實施ISO27001認證的效益
1、通過定義、評估和控制風險，確保經(jīng)營的持續(xù)性和能力
2、減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責任
3、通過遵守國際標準提高企業(yè)競爭能力，提升企業(yè)形象
4、明確定義所有組織的內(nèi)部和外部的信息接口目標：謹防數(shù)據(jù)的誤用和丟失
5、建立安全工具使用方針
6、謹防技術(shù)訣竅的丟失
7、在組織內(nèi)部增強安全意識
8、可作為公共會計審計的證據(jù)

The post 水利部珠江水利委順利通過ISO/IEC27001信息安全管理體系認證 first appeared on 深圳市安信達咨詢有限公司.

水利部珠江水利委員會（簡稱珠江委）成立于1979年，是水利部派出的流域管理機構(gòu)，在珠江流域、韓江流域、瀾滄江以東國際河流（不含瀾滄江）、粵桂沿海諸河和海南省區(qū)域內(nèi)依法行使水行政管理職責，為具有行政職能的事業(yè)單位。

（一）負責保障流域水資源的合理開發(fā)利用。受部委托組織編制流域或流域內(nèi)跨?。ㄗ灾螀^(qū)、直轄市）的江河湖泊的綜合規(guī)劃及有關(guān)的專業(yè)或?qū)ｍ椧?guī)劃并監(jiān)督實施；擬訂流域性的水利政策法規(guī)。組織開展流域控制性水利項目、跨?。ㄗ灾螀^(qū)、直轄市）重要水利項目與中央水利項目的前期工作。根據(jù)授權(quán)，負責流域內(nèi)有關(guān)規(guī)劃和中央水利項目的審查、審批以及有關(guān)水工程項目的合規(guī)性審查。對地方大中型水利項目進行技術(shù)審核。負責提出流域內(nèi)中央水利項目、水利前期工作、直屬基礎(chǔ)設(shè)施項目的年度投資計劃并組織實施。組織、指導流域內(nèi)有關(guān)水利規(guī)劃和建設(shè)項目的后評估工作。

（二）負責流域水資源的管理和監(jiān)督，統(tǒng)籌協(xié)調(diào)流域生活、生產(chǎn)和生態(tài)用水。受部委托組織開展流域水資源調(diào)查評價工作，按規(guī)定開展流域水能資源調(diào)查評價工作。按照規(guī)定和授權(quán)，組織擬訂流域內(nèi)省際水量分配方案和流域年度水資源調(diào)度計劃以及旱情緊急情況下的水量調(diào)度預(yù)案并組織實施，組織開展流域取水許可總量控制工作，組織實施流域取水許可和水資源論證等制度，按規(guī)定組織開展流域和流域重要水工程的水資源調(diào)度。

（三）負責流域水資源保護工作。組織編制流域水資源保護規(guī)劃，組織擬訂跨?。ㄗ灾螀^(qū)、直轄市）江河湖泊的水功能區(qū)劃并監(jiān)督實施，核定水域納污能力，提出限制排污總量意見，負責授權(quán)范圍內(nèi)入河排污口設(shè)置的審查許可；負責省界水體、重要水功能區(qū)和重要入河排污口的水質(zhì)狀況監(jiān)測；指導協(xié)調(diào)流域飲用水水源保護、地下水開發(fā)利用和保護工作。指導流域內(nèi)地方節(jié)約用水和節(jié)水型社會建設(shè)有關(guān)工作。

（四）負責防治流域內(nèi)的水旱災(zāi)害，承擔流域防汛抗旱總指揮部的具體工作。組織、協(xié)調(diào)、監(jiān)督、指導流域防汛抗旱工作，指導、協(xié)調(diào)并監(jiān)督防御臺風工作。按照規(guī)定和授權(quán)對重要的水工程實施防汛抗旱調(diào)度和應(yīng)急水量調(diào)度。組織實施流域防洪論證制度。組織制定流域防御洪水方案并監(jiān)督實施。指導、監(jiān)督流域內(nèi)蓄滯洪區(qū)的管理和運用補償工作。按規(guī)定組織、協(xié)調(diào)水利突發(fā)公共事件的應(yīng)急管理工作。

（五）指導流域內(nèi)水文工作。按照規(guī)定和授權(quán)，負責流域水文水資源監(jiān)測和水文站網(wǎng)的建設(shè)和管理工作。負責流域重要水域、直管江河湖庫及跨流域調(diào)水的水量水質(zhì)監(jiān)測工作，組織協(xié)調(diào)流域地下水監(jiān)測工作。發(fā)布流域水文水資源信息、情報預(yù)報和流域水資源公報。

（六）指導流域內(nèi)河流、湖泊及河口、海岸灘涂的治理和開發(fā)；按照規(guī)定權(quán)限，負責流域內(nèi)水利設(shè)施、水域及其岸線的管理與保護以及重要水利工程的建設(shè)與運行管理。指導流域內(nèi)所屬水利工程移民管理有關(guān)工作。負責授權(quán)范圍內(nèi)河道范圍內(nèi)建設(shè)項目的審查許可及監(jiān)督管理。負責直管河段及授權(quán)河段河道采砂管理，指導、監(jiān)督流域內(nèi)河道采砂管理有關(guān)工作。指導流域內(nèi)水利建設(shè)市場監(jiān)督管理工作。

（七）指導、協(xié)調(diào)流域內(nèi)水土流失防治工作。組織有關(guān)重點防治區(qū)水土流失預(yù)防、監(jiān)督與管理。按規(guī)定負責有關(guān)水土保持中央投資建設(shè)項目的實施，指導并監(jiān)督流域內(nèi)國家重點水土保持建設(shè)項目的實施。受部委托組織編制流域水土保持規(guī)劃并監(jiān)督實施，承擔國家立項審批的大中型生產(chǎn)建設(shè)項目水土保持方案實施的監(jiān)督檢查。組織開展流域水土流失監(jiān)測、預(yù)報和公告。

（八）負責職權(quán)范圍內(nèi)水政監(jiān)察和水行政執(zhí)法工作，查處水事違法行為；負責省際水事糾紛的調(diào)處工作。指導流域內(nèi)水利安全生產(chǎn)工作，負責流域管理機構(gòu)內(nèi)安全生產(chǎn)工作及其直接管理的水利工程質(zhì)量和安全監(jiān)督；根據(jù)授權(quán)，組織、指導流域內(nèi)水庫、水電站大壩等水工程的安全監(jiān)管。開展流域內(nèi)中央投資的水利工程建設(shè)項目稽察。

（九）按規(guī)定指導流域內(nèi)農(nóng)村水利及農(nóng)村水能資源開發(fā)有關(guān)工作，指導水電農(nóng)村電氣化和小水電代燃料工作；承辦國際河流有關(guān)涉外事務(wù)，負責開展水利科技、外事和質(zhì)量技術(shù)監(jiān)督工作；承擔有關(guān)水利統(tǒng)計工作。

（十）按照規(guī)定或授權(quán)負責流域控制性水利工程、跨?。ㄗ灾螀^(qū)、直轄市）水利工程等中央水利工程的國有資產(chǎn)的運營或監(jiān)督管理；研究提出直管工程和流域內(nèi)跨?。ㄗ灾螀^(qū)、直轄市）水利工程供水價格及直管工程上網(wǎng)電價核定與調(diào)整的建議。

（十一）承辦水利部交辦的其他事項。

地址：廣州市天壽路80號珠江水利大廈

The post 安信達咨詢簽約水利部珠江水利委ISO27001信息安全認證項目 first appeared on 深圳市安信達咨詢有限公司.

1 范圍
本指導性技術(shù)文件為信息安全事件的分類分級提供指導，用于信息安全事件的防范與處置，為事前準備、事中應(yīng)對、事后處理提供一個基礎(chǔ)指南，可供信息系統(tǒng)和基礎(chǔ)信息傳輸網(wǎng)絡(luò)的運營和使用單位以及信息安全主管部門參考使用。

2 術(shù)語和定義
下列術(shù)語和定義適用于本指導性技術(shù)文件。

2.1 信息系統(tǒng) information system
由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標和規(guī)則對信息進 行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。

2.2 信息安全事件 information security incident
由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或?qū)ι鐣斐韶撁嬗?響的事件。

3 縮略語
下列縮略語適用于本指導性技術(shù)文件。
MI：有害程序事件（Malware Incidents）
CVI：計算機病毒事件（Computer Virus Incidents）
WI：蠕蟲事件（Worms Incidents）
THI：特洛伊木馬事件（Trojan Horses Incidents）
BI：僵尸網(wǎng)絡(luò)事件（Botnets Incidents）
BAI：混合攻擊程序事件（Blended Attacks Incidents）
WBPI：網(wǎng)頁內(nèi)嵌惡意代碼事件（Web Browser Plug-Ins Incidents）
NAI：網(wǎng)絡(luò)攻擊事件（Network Attacks Incidents）
DOSAI：拒絕服務(wù)攻擊事件（Denial of Service Attacks Incidents）
BDAI：后門攻擊事件（Backdoor Attacks Incidents）
VAI：漏洞攻擊事件（Vulnerability Attacks Incidents）
NSEI：網(wǎng)絡(luò)掃描竊聽事件（Network Scan & Eavesdropping Incidents）
PI：網(wǎng)絡(luò)釣魚事件（Phishing Incidents）
II：干擾事件（Interference Incidents）
IDI：信息破壞事件（Information Destroy Incidents）
IAI：信息篡改事件（Information Alteration Incidents）
IMI：信息假冒事件（Information Masquerading Incidents）
ILEI：信息泄漏事件（Information Leakage Incidents）
III：信息竊取事件（Information Interception Incidents）
ILOI：信息丟失事件（Information Loss Incidents）
ICSI：信息內(nèi)容安全事件（Information Content Security Incidents）
FF：設(shè)備設(shè)施故障（Facilities Faults）
SHF：軟硬件自身故障（Software and Hardware Faults）
PSFF：外圍保障設(shè)施故障（Periphery Safeguarding Facilities Faults）
MDA：人為破壞事故（Man-made Destroy Accidents）
DI：災(zāi)害性事件（Disaster Incidents）
OI：其他事件（Other Incidents）

4 信息安全事件分類

4.1 考慮要素與基本分類
信息安全事件可以是故意、過失或非人為原因引起的。
本指導性技術(shù)文件綜合考慮信息安全事件的 起因、表現(xiàn)、結(jié)果等，對信息安全事件進行分類。
信息安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故 障、災(zāi)害性事件和其他信息安全事件等7個基本分類，每個基本分類分別包括若干個子類。

4.2 事件分類

4.2.1 有害程序事件（MI）
有害程序事件是指蓄意制造、傳播有害程序，或是因受到有害程序的影響而導致的信息安全事件。
有害程序是指插入到信息系統(tǒng)中的一段程序，有害程序危害系統(tǒng)中數(shù)據(jù)、應(yīng)用程序或操作系統(tǒng)的保密性、 完整性或可用性，或影響信息系統(tǒng)的正常運行。
有害程序事件包括計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合攻擊程序事 件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其它有害程序事件等7個子類，說明如下：

a) 計算機病毒事件（CVI）
是指蓄意制造、傳播計算機病毒，或是因受到計算機病毒影響而導致 的信息安全事件。計算機病毒是指編制或者在計算機程序中插入的一組計算機指令或者程序代 碼，它可以破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制；

b) 蠕蟲事件（WI）
是指蓄意制造、傳播蠕蟲，或是因受到蠕蟲影響而導致的信息安全事件。蠕 蟲是指除計算機病毒以外，利用信息系統(tǒng)缺陷，通過網(wǎng)絡(luò)自動復(fù)制并傳播的有害程序；

c) 特洛伊木馬事件（THI）
是指蓄意制造、傳播特洛伊木馬程序，或是因受到特洛伊木馬程序影 響而導致的信息安全事件。特洛伊木馬程序是指偽裝在信息系統(tǒng)中的一種有害程序，具有控制 該信息系統(tǒng)或進行信息竊取等對該信息系統(tǒng)有害的功能；

d) 僵尸網(wǎng)絡(luò)事件（BI）
是指利用僵尸工具軟件，形成僵尸網(wǎng)絡(luò)而導致的信息安全事件。僵尸網(wǎng)絡(luò) 是指網(wǎng)絡(luò)上受到黑客集中控制的一群計算機，它可以被用于伺機發(fā)起網(wǎng)絡(luò)攻擊，進行信息竊取 或傳播木馬、蠕蟲等其他有害程序；

e) 混合攻擊程序事件（BAI）
是指蓄意制造、傳播混合攻擊程序，或是因受到混合攻擊程序影響 而導致的信息安全事件?；旌瞎舫绦蚴侵咐枚喾N方法傳播和感染其它系統(tǒng)的有害程序，可能兼有計算機病毒、蠕蟲、木馬或僵尸網(wǎng)絡(luò)等多種特征。混合攻擊程序事件也可以是一系列有害程序綜合作用的結(jié)果，例如一個計算機病毒或蠕蟲在侵入系統(tǒng)后安裝木馬程序等；

f) 網(wǎng)頁內(nèi)嵌惡意代碼事件（WBPI）
是指蓄意制造、傳播網(wǎng)頁內(nèi)嵌惡意代碼，或是因受到網(wǎng)頁內(nèi) 嵌惡意代碼影響而導致的信息安全事件。網(wǎng)頁內(nèi)嵌惡意代碼是指內(nèi)嵌在網(wǎng)頁中，未經(jīng)允許由瀏 覽器執(zhí)行，影響信息系統(tǒng)正常運行的有害程序；

g) 其它有害程序事件（OMI）
是指不能包含在以上6個子類之中的有害程序事件。

4.2.2 網(wǎng)絡(luò)攻擊事件（NAI）
網(wǎng)絡(luò)攻擊事件是指通過網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使 用暴力攻擊對信息系統(tǒng)實施攻擊，并造成信息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)當前運行造成潛在危害的信息安全事件。
網(wǎng)絡(luò)攻擊事件包括拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣 魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件等7個子類，說明如下：

a) 拒絕服務(wù)攻擊事件（DOSAI）
是指利用信息系統(tǒng)缺陷、或通過暴力攻擊的手段，以大量消耗 信息系統(tǒng)的CPU、內(nèi)存、磁盤空間或網(wǎng)絡(luò)帶寬等資源，從而影響信息系統(tǒng)正常運行為目的的 信息安全事件；

b) 后門攻擊事件（BDAI）
是指利用軟件系統(tǒng)、硬件系統(tǒng)設(shè)計過程中留下的后門或有害程序所設(shè) 置的后門而對信息系統(tǒng)實施的攻擊的信息安全事件；

c) 漏洞攻擊事件（VAI）
是指除拒絕服務(wù)攻擊事件和后門攻擊事件之外，利用信息系統(tǒng)配置缺陷、 協(xié)議缺陷、程序缺陷等漏洞，對信息系統(tǒng)實施攻擊的信息安全事件；

d) 網(wǎng)絡(luò)掃描竊聽事件（NSEI）
是指利用網(wǎng)絡(luò)掃描或竊聽軟件，獲取信息系統(tǒng)網(wǎng)絡(luò)配置、端口、 服務(wù)、存在的脆弱性等特征而導致的信息安全事件；

e) 網(wǎng)絡(luò)釣魚事件（PI）
是指利用欺騙性的計算機網(wǎng)絡(luò)技術(shù)，使用戶泄漏重要信息而導致的信息安 全事件。例如，利用欺騙性電子郵件獲取用戶銀行帳號密碼等；

f) 干擾事件（II）
是指通過技術(shù)手段對網(wǎng)絡(luò)進行干擾，或?qū)V播電視有線或無線傳輸網(wǎng)絡(luò)進行插 播，對衛(wèi)星廣播電視信號非法攻擊等導致的信息安全事件；

g) 其他網(wǎng)絡(luò)攻擊事件（ONAI）
是指不能被包含在以上6個子類之中的網(wǎng)絡(luò)攻擊事件。

4.2.3 信息破壞事件（IDI）
信息破壞事件是指通過網(wǎng)絡(luò)或其他技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等 而導致的信息安全事件。
信息破壞事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息竊取事件、信息丟失事件和 其它信息破壞事件等6個子類，說明如下：

a) 信息篡改事件（IAI）
是指未經(jīng)授權(quán)將信息系統(tǒng)中的信息更換為攻擊者所提供的信息而導致的信息安全事件，例如網(wǎng)頁篡改等導致的信息安全事件；

b) 信息假冒事件（IMI）
是指通過假冒他人信息系統(tǒng)收發(fā)信息而導致的信息安全事件，例如網(wǎng)頁假冒等導致的信息安全事件；

c) 信息泄漏事件（ILEI）
是指因誤操作、軟硬件缺陷或電磁泄漏等因素導致信息系統(tǒng)中的保密、 敏感、個人隱私等信息暴露于未經(jīng)授權(quán)者而導致的信息安全事件；

d) 信息竊取事件（III）
是指未經(jīng)授權(quán)用戶利用可能的技術(shù)手段惡意主動獲取信息系統(tǒng)中信息而導致的信息安全事件；

e) 信息丟失事件（ILOI）
是指因誤操作、人為蓄意或軟硬件缺陷等因素導致信息系統(tǒng)中的信息丟失而導致的信息安全事件；

f) 其它信息破壞事件（OIDI）
是指不能被包含在以上5個子類之中的信息破壞事件。

4.2.4 信息內(nèi)容安全事件（ICSI）
信息內(nèi)容安全事件是指利用信息網(wǎng)絡(luò)發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益的內(nèi)容的安全事件。
信息內(nèi)容安全事件包括以下4個子類，說明如下：

a) 違反憲法和法律、行政法規(guī)的信息安全事件；

b) 針對社會事項進行討論、評論形成網(wǎng)上敏感的輿論熱點，出現(xiàn)一定規(guī)模炒作的信息安全事件；

c) 組織串連、煽動集會游行的信息安全事件；

d) 其他信息內(nèi)容安全事件等4個子類。

4.2.5 設(shè)備設(shè)施故障（FF）
設(shè)備設(shè)施故障是指由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導致的信息安全事件，以及人為的使用非技術(shù)手段有意或無意的造成信息系統(tǒng)破壞而導致的信息安全事件。
設(shè)備設(shè)施故障包括軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故、和其它設(shè)備設(shè)施故障等4 個子類，說明如下：

a) 軟硬件自身故障（SHF）
是指因信息系統(tǒng)中硬件設(shè)備的自然故障、軟硬件設(shè)計缺陷或者軟硬件運行環(huán)境發(fā)生變化等而導致的信息安全事件；

b) 外圍保障設(shè)施故障（PSFF）
是指由于保障信息系統(tǒng)正常運行所必須的外部設(shè)施出現(xiàn)故障而導致的信息安全事件，例如電力故障、外圍網(wǎng)絡(luò)故障等導致的信息安全事件；

c) 人為破壞事故（MDA）
是指人為蓄意的對保障信息系統(tǒng)正常運行的硬件、軟件等實施竊取、破壞造成的信息安全事件；或由于人為的遺失、誤操作以及其他無意行為造成信息系統(tǒng)硬件、軟件等遭到破壞，影響信息系統(tǒng)正常運行的信息安全事件；

d) 其它設(shè)備設(shè)施故障（IF-OT）
是指不能被包含在以上3個子類之中的設(shè)備設(shè)施故障而導致的信息安全事件。

4.2.6 災(zāi)害性事件（DI）
災(zāi)害性事件是指由于不可抗力對信息系統(tǒng)造成物理破壞而導致的信息安全事件。
災(zāi)害性事件包括水災(zāi)、臺風、地震、雷擊、坍塌、火災(zāi)、恐怖襲擊、戰(zhàn)爭等導致的信息安全事件。

4.2.7 其他事件（OI）
其他事件類別是指不能歸為以上6個基本分類的信息安全事件。

5 信息安全事件分級

5.1 分級考慮要素

5.1.1 概述
對信息安全事件的分級主要考慮三個要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響。

5.1.2 信息系統(tǒng)的重要程度
信息系統(tǒng)的重要程度主要考慮信息系統(tǒng)所承載的業(yè)務(wù)對國家安全、經(jīng)濟建設(shè)、社會生活的重要性以及業(yè)務(wù)對信息系統(tǒng)的依賴程度，劃分為特別重要信息系統(tǒng)、重要信息系統(tǒng)和一般信息系統(tǒng)。

5.1.3 系統(tǒng)損失
系統(tǒng)損失是指由于信息安全事件對信息系統(tǒng)的軟硬件、功能及數(shù)據(jù)的破壞，導致系統(tǒng)業(yè)務(wù)中斷，從而給事發(fā)組織所造成的損失，其大小主要考慮恢復(fù)系統(tǒng)正常運行和消除安全事件負面影響所需付出的代價，劃分為特別嚴重的系統(tǒng)損失、嚴重的系統(tǒng)損失、較大的系統(tǒng)損失和較小的系統(tǒng)損失，說明如下：

a) 特別嚴重的系統(tǒng)損失：造成系統(tǒng)大面積癱瘓，使其喪失業(yè)務(wù)處理能力，或系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到嚴重破壞，恢復(fù)系統(tǒng)正常運行和消除安全事件負面影響所需付出的代價十分巨大，對于事發(fā)組織是不可承受的；

b) 嚴重的系統(tǒng)損失：造成系統(tǒng)長時間中斷或局部癱瘓，使其業(yè)務(wù)處理能力受到極大影響，或系統(tǒng) 關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到破壞，恢復(fù)系統(tǒng)正常運行和消除安全事件負面影響所 需付出的代價巨大，但對于事發(fā)組織是可承受的；

c) 較大的系統(tǒng)損失：造成系統(tǒng)中斷，明顯影響系統(tǒng)效率，使重要信息系統(tǒng)或一般信息系統(tǒng)業(yè)務(wù)處 理能力受到影響，或系統(tǒng)重要數(shù)據(jù)的保密性、完整性、可用性遭到破壞，恢復(fù)系統(tǒng)正常運行和 消除安全事件負面影響所需付出的代價較大，但對于事發(fā)組織是完全可以承受的；

d) 較小的系統(tǒng)損失：造成系統(tǒng)短暫中斷，影響系統(tǒng)效率，使系統(tǒng)業(yè)務(wù)處理能力受到影響，或系統(tǒng) 重要數(shù)據(jù)的保密性、完整性、可用性遭到影響，恢復(fù)系統(tǒng)正常運行和消除安全事件負面影響所需付出的代價較小。

5.1.4 社會影響
社會影響是指信息安全事件對社會所造成影響的范圍和程度，其大小主要考慮國家安全、社會秩序、經(jīng)濟建設(shè)和公眾利益等方面的影響，劃分為特別重大的社會影響、重大的社會影響、較大的社會影響和一般的社會影響，說明如下：

a) 特別重大的社會影響：波及到一個或多個省市的大部分地區(qū)，極大威脅國家安全，引起社會動 蕩，對經(jīng)濟建設(shè)有極其惡劣的負面影響，或者嚴重損害公眾利益；

b) 重大的社會影響：波及到一個或多個地市的大部分地區(qū)，威脅到國家安全，引起社會恐慌，對 經(jīng)濟建設(shè)有重大的負面影響，或者損害到公眾利益；

c) 較大的社會影響：波及到一個或多個地市的部分地區(qū)，可能影響到國家安全，擾亂社會秩序， 對經(jīng)濟建設(shè)有一定的負面影響，或者影響到公眾利益；

d) 一般的社會影響：波及到一個地市的部分地區(qū)，對國家安全、社會秩序、經(jīng)濟建設(shè)和公眾利益 基本沒有影響，但對個別公民、法人或其他組織的利益會造成損害。

5.2 事件分級

5.2.1 概述
根據(jù)信息安全事件的分級考慮要素，將信息安全事件劃分為四個級別：特別重大事件、重大事件、 較大事件和一般事件。

5.2.2 特別重大事件（Ⅰ級）
特別重大事件是指能夠?qū)е绿貏e嚴重影響或破壞的信息安全事件，包括以下情況：

a) 會使特別重要信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失；

b) 產(chǎn)生特別重大的社會影響。

5.2.3 重大事件（Ⅱ級）
重大事件是指能夠?qū)е聡乐赜绊懟蚱茐牡男畔踩录?，包括以下情況：

a) 會使特別重要信息系統(tǒng)遭受嚴重的系統(tǒng)損失、或使重要信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失；

b) 產(chǎn)生的重大的社會影響。

5.2.4 較大事件（Ⅲ級）
較大事件是指能夠?qū)е螺^嚴重影響或破壞的信息安全事件，包括以下情況：

a) 會使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失、或使重要信息系統(tǒng)遭受嚴重的系統(tǒng)損失、一般信息信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失；

b) 產(chǎn)生較大的社會影響。

5.2.5 一般事件（Ⅳ級）
一般事件是指不滿足以上條件的信息安全事件，包括以下情況：

a) 會使特別重要信息系統(tǒng)遭受較小的系統(tǒng)損失、或使重要信息系統(tǒng)遭受較大的系統(tǒng)損失，一般信 息系統(tǒng)遭受嚴重或嚴重以下級別的系統(tǒng)損失；

b) 產(chǎn)生一般的社會影響。

The post 信息安全事件分類分級指南 first appeared on 深圳市安信達咨詢有限公司.

從日常運維、管理機制、系統(tǒng)配置等方面對公司信息安全管理安全現(xiàn)狀進行調(diào)研，通過培訓使貴公司相關(guān)人員全面了解信息安全管理的基本知識。包括：

· 項目啟動：前期溝通，實施計劃，項目小組，資源支持，啟動會議。
· 前期培訓：信息安全管理基礎(chǔ)，風險評估方法。
· 現(xiàn)狀評估：初步了解信息安全現(xiàn)狀，分析與ISO27001標準要求的差距。
· 業(yè)務(wù)分析：訪談?wù){(diào)查，核心與支持業(yè)務(wù)，業(yè)務(wù)對資源的需求，業(yè)務(wù)影響分析。

第二階段：風險評估

對客戶信息資產(chǎn)進行資產(chǎn)價值、威脅因素、脆弱性分析，從而評估客戶信息安全風險，選擇適當?shù)拇胧?、方法實現(xiàn)管理風險的目的。

· 資產(chǎn)識別：識別貴公司的各種信息資產(chǎn)。
· 風險評估：重要資產(chǎn)、威脅、弱點、風險識別與評估。

第三階段：管理策劃

根據(jù)客戶對信息安全風險的策略，制定相應(yīng)的信息安全整體規(guī)劃、管理規(guī)劃、技術(shù)規(guī)劃等，形成完整的信息安全管理系統(tǒng)。

· 文件編寫：編寫ISMS各級管理文件，進行Review及修訂，管理層討論確認。
· 發(fā)布實施：ISMS實施計劃，體系文件發(fā)布，控制措施實施。（安信達咨詢znojukyf.cn）
· 中期培訓：全員安全意識培訓，ISMS實施推廣培訓，必要的考核。

第四階段：體系實施

ISMS建立起來（體系文件正式發(fā)布實施）之后，要通過一定時間的試運行來檢驗其有效性和穩(wěn)定性。

· 認證申請：與認證機構(gòu)磋商，準備材料申請認證，制定認證計劃，預(yù)審核。
· 后期培訓：審核員等角色的專業(yè)技能培訓。
· 內(nèi)部審核：審核計劃，Checklist，內(nèi)部審核，不符合項整改。
· 管理評審：信息安全管理委員會組織ISMS整體評審，糾正預(yù)防。

第五階段：認證審核

經(jīng)過一定時間運行，ISMS達到一個穩(wěn)定的狀態(tài)，各項文檔和記錄已經(jīng)建立完備，此時，可以提請進行認證。

· 認證準備：準備送審文件，安排部署審核事項。
· 協(xié)助認證：內(nèi)部審核小組陪同協(xié)助，應(yīng)對審核問題。

The post ISO27001信息安全管理體系認證輔導流程 first appeared on 深圳市安信達咨詢有限公司.