商通检测在编写信息管理体系认证支持网络安全框架实施的政策和程序方面提供支持,并就如何实施安全控制以将风险降低到可接受的水平提供建议。

我们与您合作,以确保能够以最小的摩擦和最大的价值实现所选网络安全框架的实施

组织需要证明他们可以安全地在全球市场中竞争。在当今世界,仅仅声称自己是安全的还不够;潜在客户、业务合作伙伴和董事会需要证据。有了商通检测作为您值得信赖的合作伙伴,年复一年地实现并保持 ISO-27001 认证是一个有保证的实施。与我们合作的客户受益于显着增强的安全状况以及向其主要利益相关者(包括关键业务客户)展示相同状况的能力。

商通检测ISO27001咨询服务的好处:

1.按照您自己的步调达到合规性– 专门的 ISO 27001 专业知识可确保您在需要时获得所需的答案、指导文档和扩展团队成员。

2.制定路线图并保持目标——每周在您的项目团队和我们致力于您项目的 ISO 27001 专家之间举办状态/协调/工作会议。

3.节省时间和金钱——利用我们的专业知识、经过验证的流程和工件,可以简化获得认证的过程。

4.确保您符合 ISO 27001 要求– 通过验证所有工件以确保它们完全符合标准来确保您的成功。

5.确保 27001 可操作(不仅仅是实施) ——帮助建立 ISMS 委员会和主持委员会会议。

6.确保您准备好进行认证审核- 会进行您的 ISMS 内部审核(包括纠正措施计划和管理审核)。

7.确保您通过认证审核——提供现场支持,以确保您的认证审核顺利进行。 我们有 100% 的成功率让客户获得 ISO 27001 认证。

8.确保您年复一年地保持您的认证——提供持续支持以运行 ISMS、管理信息风险、不断改进您的安全状况、执行您的 ISMS 内部审计计划并成功保持您的认证。

商通检测的ISO-27001认证咨询服务包括:

1.信息安全管理系统 (ISMS) 策略/框架选择 - 根据行业、法规遵从性和证明要求确定 ISMS 开发的方法。

2.ISMS 范围确定和优化 ——范围确定对于成功的 ISO-27001 认证工作至关重要。范围需要足够广泛,以确保它能够满足关键利益相关者(例如,客户、股东)的需求,但又需要足够窄以确保最初的努力保持可控。

3.风险评估 ——风险评估/管理是 ISMS 的基础。我们相信 ISO-27005 比许多其他风险评估标准具有优势,因为它非常适合非基于资产的方法。这种“信息及其作用的过程”方法产生了一个更直观的过程,可以在更短的时间内创造更大的价值。

4.风险处理计划制定 ——风险处理计划定义了所需的ISO-27002控制措施,包括必要的程度和严格性,以将风险处理(减轻)到管理层认为可接受的水平。它是一个基本的 ISMS 工件,并形成了差距评估的基础/标准。

5.ISMS 差距评估 ——了解信息安全管理体系(例如,ISO-27001)当前状态与期望状态之间的差距是“优先路线图”(差距修复计划)的关键输入。

6.安全控制差距评估 - 了解控制实践的当前状态和期望状态之间的差距是“优先路线图”(差距修复计划)的关键输入。ISO-27002 差距评估(以及共享评估 和 HITRUST等衍生 产品)在 ISO-27001 认证工作之外广泛用作“最佳安全实践”差距评估,也可用作设计/运营证明的一种形式。

7.优先路线图定义 ——路线图定义了解决实现项目目标(包括认证)所需时间范围内已确定的差距所需的活动、方法和责任。

8.差距补救促进/支持 ——理想情况下,差距补救将主要由内部团队完成,而不是第三方(如 Pivot Point Security)。内部聚焦的方法利用第三方为 SME 按需、模板和工件验证,最大限度地开发组织知识/专业知识,确保关键人员是最终控制环境中的“利益相关者”,并防止组织过度依赖于第三方操作 ISMS 后认证。

9.安全指标 ——安全指标对于 ISMS 的最佳运行至关重要,因为它们是证明大多数 ISMS 固有的持续改进原则不可或缺的一部分。该服务的重点是简化测量、报告过程,从而系统地提高 ISMS 的有效性。独立于所利用的安全框架,ISO-27004 为安全指标提供了极好的指导。

10.政策、标准和程序 (PSP) 支持 ——PSP 构成了任何 ISMS 的支柱。值得注意的是,尽管 PSP 是 ISMS 最基本的要素,但它们也是最难以有效实施的要素之一。这主要是由于 PSP 的综合性和相互依存性。

在开始 PSP 工作之前要考虑的关键决策点:

a.结构:理想情况下,政策、标准和程序是分开的,这简化了正在进行的管理和版本管理。然而,大多数组织将它们结合起来,这会产生复杂性,其中特定程序是多个标准和/或程序的组成部分。

b.演示:大多数组织利用 PSP 的线性文档格式,这在传达其层次性质和相互依赖性方面做得很差。人们越来越多地利用 Wiki、SharePoint 和/或专用 ISMS 管理系统来应对这一挑战。

c.受众:PSP 通常有多个受众(例如,员工、IT 人员、承包商、顾问、管理层)。受众、结构和演示是高度相互关联的,对于确保 PSP 被理解和遵循至关重要。如果目标受众无法轻松找到与他们试图解决的特定问题相关的所有信息,则几乎肯定会发生不符合项。

d.业务:公司的规模、风险/风险承受能力、内部专业知识、资源可用性、预算和当前 PSP 成熟度水平显着影响工作。

e.外部:法规和外部业务环境可以显着影响工作。

f.版本控制:确保所有必要的变更批准都是可审计的、保留版本历史记录并且只有当前版本可以随时访问的机制至关重要。

11.ISMS 内部审计 – 大多数ISMS的 PDCA 模型都要求进行内部审计以确定其 ISMS 的控制目标、控制、过程和程序是否:

a、符合ISO-27001及相关法律法规的要求;

b、符合确定的信息安全要求;

c、得到有效实施和维护;

d、按预期执行。

12.认证审核支持 ——许多组织认为,在认证审核阶段的一个或两个阶段让安全审核员在现场可以简化流程并降低可能引用不符合项的风险。

13.27001 证书扩展 ——我们经常提倡组织尽量减少其 ISO-27001 证书的初始范围,以限制对业务的干扰程度。在监督审核期间扩展证书是逐步扩大 ISMS 范围的最简单方法。

14.持续的风险管理团队成员 ——保持风险管理委员会的最佳组成可确保风险管理职能的持续有效性,这对 ISMS 的持续有效性至关重要。许多组织倾向于纳入具有跨组织/行业专业知识的独立客观的第三方,以优化风险管理委员会的运作。

15.事件响应支持 ——实施能够及时发现和响应事件的程序和其他控制对于 ISMS 和持续改进的原则至关重要。许多组织没有专业知识和/或资源在内部完全满足这一要求。

商通检测如何提供帮助:

我们经验丰富的信息安全专业人员在了解使您的组织沿着网络安全框架实施之旅所需要做的事情方面拥有丰富的经验。

无论您是想通过竞争优势赢得业务、突破第障碍,还是只是了解您的安全成熟度,我们的专家都可以为您提供实现目标的实践指导。