关于汉德
 
汉德中国
 
标准介绍
 
培训信息
 
最新动态
 
下载专区
 
体系证书查询
 
产品证书查询
 
暂停及失效证书查询
 
招聘信息
 
     
     
 
  IT系统安全服务
 
组织安全服务 IT系统安全服务 产品安全服务 ISO20000标准说明 ISO20000服务介绍 ISO27001标准说明 ISO27001服务介绍
 

组织安全服务:

  • ISO 27001:2005
  • 认证服务:ISMS(信息安全管理系统)认证、ITBPM,GSM审核
  • 培训服务:ISMS核心课程、ISMS实施课程、IRCA注册ISMS主任审核员培训课程(A17242)
[ 返回顶部 ]

 

IT系统安全服务:

  • ITBPM、IT系统安全评估和认证服务
  • 网络、操作系统、应用、物理安全
  • 认证服务:SQ(系统资格)、SigG(数码签名)
  • 培训服务:IT系统安全培训课程
[ 返回顶部 ]

 

产品安全服务:

  • IT产品测试、软件和硬件、评估和认证服务
  • 认证服务:ISO 15408(CC,通用准则)、FIPS 140
  • 培训服务:CC培训/li>
[ 返回顶部 ]

 

ISO20000标准说明:

2001年,英国标准协会(BSI)在国际IT服务管理论坛(itSMF)年会上正式发布了以ITIL为基础的IT服务管理英国国家标准BS15000。ISO15000是世界上第一个针对IT服务管理的国家标准。它提出了一系列相对独立又彼此相互关联的服务管理所需要的管理流程。

2005年12月15日,BSI的IT服务管理标准BS15000-1:2002&BS15000-2: 2003,正式发布成为ISO国际标准:ISO/IEC 20000-1:2005&ISO/IEC 20000-2:2005。ISO/IEC 20000标准描绘了IT服务管理标准与最佳实践之间的区别,它帮助识别和管理IT服务的关键流程,保证提供有效的IT服务满足客户和业务的需求,这些流程与组织的构成或大小以及组织的名称和结构无关。

ISO/IEC 20000-1:2005: 服务管理规范

Information Technology–Service management–Part 1: Specification?

ISO/IEC20000-1:2005规定了组织向其顾客提供合格服务的具体规定和要求,是IT服务管理体系的认证标准,其范围包括:

ISO/IEC 20000-1:2005: 服务管理实施指南

Information Technology–Service management–Part 2: Code of practice

ISO/IEC 20000-2:2005描述了在ISO/IEC 20000-1:2005中服务管理流程的最佳实践,为审计人员提供行业一致认同的指南,并且为服务提供者规划服务改善或通过ISO/IEC 20000-1:2005审核提供指导。

[ 返回顶部 ]

 

ISO20000服务介绍

信息技术服务管理体系ITSMS
Information Technology Service Management Systems

如何改善组织的信息技术服务?

身为企业负责人的您,是否因为无法决定信息技术服务的综效,而对信息技术的投资犹豫不定? 外包服务可以解决吗? 如何选择好的信息技术服务外包厂商?

身为信息技术服务提供者的您,是否能提供符合国际标准的信息技术服务质量?能强化信息技术服务提供的效能与效率,并提高客户的信任?

身为信息部门主管的您,是否希望信息技术服务能结合企业营运目标,且清楚展现信息部门的绩效,满足内部或外部客户的要求?

身为信息部门员工的您,是否因缺乏适当的服务管理系统,导致服务价值无法展现与评核?

信息技术服务管理体系的介绍与好处:

所谓信息技术服务管理体系,是指一套能透过整合性的流程和管控项目,让信息技术服务提供者能更有效率与效能地提供兼具符合外部客户与企业内部要求的管理体系。ISO/IEC 20000-1:2005是全球第一套强调信息技术服务管理系统的国际标准,本标准定义并运用一系列关联密切的管理流程来有效管理和控制信息技术服务的提供,藉以确保服务质量并提升效率和持续改善的机会,以达成客户要求并创造最大的效益。

信息技术服务管理体系就像是信息部门的质量管理体系(ISO 9000),借着持续改善的机制有效管理信息技术服务的相关流程,以提供客户高质量且具效率的信息技术服务。此国际标准制定并涵盖了以下各管理要项与服务提供流程:

  • 服务水平管理: 经由与客户所约定的服务水平协议来管理其服务水平。
  • 服务报告: 针对服务绩效,客户满意分析,市场趋势等数据,以产生有助于管理决策的报告。
  • 服务持续与可用性管理: 藉由计划与测试来确保可持续提供符合客户需求的服务。
  • 信息技术服务的成本管理: 以财务方式来计划并统计分析信息服务的成本。
  • 容量管理: 监控现有容量并预测未来所需的容量,以确保随时拥有充足并有效的服务能量。
  • 信息安全管理: 在各服务活动中有效的管理信息安全风险。
  • 业务关系管理: 积极主动的管理客户关系,以了解客户需求,及时改善服务质量。
  • 供应商管理: 有效评核并管理供应商,以确保相关服务的质量与绩效。
  • 事件管理: 从容应变突发事件,迅速恢复服务,确实响应客户要求。
  • 问题管理: 藉由主动鉴别与分析事件的真因,彻底解决问题并降低营运冲击。
  • 配置管理: 鉴别并控管与服务相关设施的组成要件,并维护配置信息。
  • 变更管理: 确保所有变更都已经过评估、核准、实施并审查。
  • 发布管理流程: 变更内容发布前后的交付、评估与监控。

它们之间的关系如下:

TUV NORD能为您做什么?

我们提供信息技术服务管理体系认证相关的教育培训服务,协助贵公司具备符合国际标准的信息技术服务管理体系,并提供建设性的意见,以增加信息技术服务的价值,提高信息技术的投资报酬率与人员绩效,满足客户的要求,且成为贵公司的核心竞争力的合作伙伴。

藉由我们,您可以得到比别人更多更好的服务:

  • 德国严谨的服务: TUV NORD 集团是德国最大的技术监督服务机构之一,拥有近140年的历史,全球前十大的验证机构,更是许多国际知名企业所信赖指定的公司。
  • 独立专业的服务: 拥有一群具备专业信息背景与丰富审核及训练经验的国际团队,提供弹性且多样化的服务,能契合不同组织的独特需求。
  • 客户至上的服务: 从与客户的接触开始,到完成服务,我们有专业的客服团队,深入了解您的期许,确保我们的服务与承诺能满足您的要求。
  • 效益大于成本的服务: 我们提供简便的转证手续及一年一次追踪审查流程,减少对营运的干扰,降低维护成本,并可在证书上加印贵公司商标,以得到最大的投入效益。
  • 真正的国际认证服务: 不同于其它培训机构,TUV NORD是IRCA直接认可的国际训练机构,课程设计和讲师皆获得IRCA的认可与监督,让TUV NORD的课程质量更有保障。

TUV NORD的服务内容:

藉由我们,您可以得到比别人更多更好的服务:

  • ITSMS认证服务的流程:

提出申请 → 报价签约 → 差异分析/预审 (选择性) → 文件审查 (第一阶段) → 现场审核 (第二阶段) → 审核报告与建议 → 缺失改善 → 审核小组确认 → 发出证书 → 后续年度审查 (证书效期为三年)

  • ITSMS教育培训:?

IRCA认可ITSMS主任审核员培训 (A17405) (五天)

ITSMS 管理体系建立和实施培训课程 (三天)

ITSMS内部审核员培训 (两天)

ITSMS基础培训课程?? (两天)

[ 返回顶部 ]

 

ISO27001标准说明

信息安全管理体系(ISMS)是系统地对组织的敏感信息进行管理,涉及到人、程序和信息技术(IT)系统。目前,国际上使用的信息安全管理体系要求标准号为ISO ISO27001∶2005,它适用于组织内部和客户,是ISMS的国际认证标准。

ISMS体系ISO27000系列标准

  • ISO/IEC27000信息安全管理体系基础和术语
  • ISO/IEC27001信息安全管理体系要求
  • ISO/IEC27002信息安全管理实用规则
  • ISO/IEC27003 信息安全管理体系实施指南
  • ISO/IEC27004 信息安全管理测量
  • ISO/IEC27005 信息安全风险管理
  • ISO/IEC27006 信息安全管理体系认证机构的认可要求
  • 目前国际标准化组织已经正式发布的ISMS国际标准有4个,其中的ISO/IEC27001和ISO/IEC27002是ISMS的核心标准。

ISO/IEC27001:2005:信息安全管理体系要求

Information technology-Security techniques-Information security management systems-Requirements

ISO/IEC27001于2005年10月15日正式发布。它同ISO9001的性质一样,是ISMS的要求标准,内容共分8章和3个附录,其中附录A中的内容主要来自ISO/IEC27002。

ISO/IEC27001适用于所有类型的组织(如企事业单位、政府机关等)。它从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求,并提供了方法。它还规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。ISO/IEC27001是组织建立和实施ISMS的依据,也是ISMS认证机构实施审核的依据。

ISO/IEC27002:2007: 信息安全管理实施指南

Information technology-Security techniques-Code of practice for Information security management

ISO/IEC17799于2000年12月1日正式发布,2005年6月15日发布修订版即ISO/IEC17799:2005,原来版本同时废止。在2007年7月1日,ISO/IEC17799的标准序号正式更改为ISO/IEC27002,属于指南类标准。

ISO/IEC17799:2005从11个方面,提出了39个控制目标和133个控制措施,这些控制目标和控制措施是信息安全管理的最佳实践。从ISO/IEC17799的应用上看,它既专用,又通用。说它专用,是因为它做为ISMS标准族的一个成员,是配合ISO/IEC27001使用的;说它通用,是因为ISO/IEC17799中提出的信息安全控制目标和控制措施是从信息安全工作实践中总结出来的,不管组织是否建立和实施ISMS,均可从中选择适合自己使用的控制措施来实现组织的信息安全目标。

ISO/IEC 27005信息安全风险管理

Information technology-Security techniques-Information security risk management

ISO/IEC27005于2008年6月15日正式发布,属于指南类标准。它给出了信息安全风险管理的指南,包括风险管理的原则,风险评估方法,风险处理和风险接受,风险的监视和评审等,以及给出了如何满足ISMS要求的更进一步的信息。

ISO/IEC 27006信息安全管理体系认证机构的认可要求

Information technology-Security techniques-Requirements for the accreditation of bodies providing certification of information security management systems

ISO/IEC27006于2007年3月1日正式发布。该标准主要对从事ISMS认证的机构提出要求和规范,或者说具备怎样的条件就可以从事ISMS认证业务。

[ 返回顶部 ]

 

ISO27001服务介绍

信息安全管理体系 ISMS
(Information Security Management Systems)

信息安全服务可分为三个领域,组织安全、信息系统安全、及信息产品安全。对于组织安全,建立一套适宜的信息安全管理体系 (ISMS),是最普及也最易见成效的方法。目前国际上最常应用的信息安全管理体系国际标准为 ISO/IEC 27001:2005。此标准强调以风险管理为基础来提供一个持续改善的管理模式,以协助建立并有效管理组织的信息安全管理体系。全世界各国多年的实际信息安全统计数据显示,建立一个有效的信息安全管理系统,可降低信息安全的风险及减轻信息安全事故所造成的伤害。

TUV NORD是目前唯一同时具备 TGA 和JAS/ANZ认证的ISO/IEC 27001认证机构。在ISO/IEC 27001:2005认证方面,TUV NORD 整合丰富的国际信息安全标准经验 (ITBPM、BS7799、GSM SAS Audit),以德国成功经验为基础,持续将其专业领域扩展至全球其它国家,涵盖区域包含:

  • 欧洲的德国、英国、荷兰、瑞典、捷克、奥地利、希腊等。
  • 中东的沙特阿拉伯、沙乌地联合大公国、约旦、卡达与伊朗等。
  • 亚洲的中国大陆、中国台湾、中国香港、印度、韩国、泰国、马来西亚、印度尼西亚与越南等。

TUV NORD 同时也提供认证的前期服务,包含以ISO/IEC 27001:2005及ISO/IEC 27002:2005为基准,提供差异分析与模拟评审,其目的在于协助客户鉴别一个确实可行的方法去加强自身信息安全管理体系。差异分析服务己证实在信息安全管理体系建立上有十分显著、可见的功能。

TUV NORD 在ISO/IEC 27001的优势:

  • TUV NORD 由国际合格审核员管理机构 (IRCA) International Register of Certificated Auditors 授权核可,为亚洲地区第一家信息安全管理体系主任审核员的合格教育训练机构,国际注册号码为AO17241。
  • 全球唯一全方位提供信息安全服务国际认证及教育培训机构。服务项目涵盖了组织安全(ISMS)、计算机网络系统安全(SQ, Security Qualification) 及信息安全产品模块安全 (ISO/IEC 15408),提供客户在信息安全上一个全面解决方案。
  • ISMS相关的培训课程及审核认证服务均由亚太团队开发并经德国评核认证后,再推广至全球分支机构,具备全球性培训及审核经验分享。
  • 我们提供简便的转证手续及一年一次追踪审查,减少对营运的干扰,可有效降低客户有形与无形的维护成本。
  • 客户可在证书上使用企业的标识(Logo),以提升企业形象。
  • 引进并提供更完整的信息安全解决方案,唯一提供德国信息安全标准ITBPM(Information Technology Baseline Protection Manual,信息系统安全基准保护手册)的国际认证机构,可提供更深入且详实的信息安全管理体系服务。

TUV NORD的服务内容:

  • 认证服务

ISMS差异分析审核(Gap Analysis)

ISMS预评审核(Pre-audit)

ISMS认证审核(Certification Audit)

ISMS转证审核

  • 教育培训

IRCA认可ISMS主任审核员培训课程 (五天)

ISMS内部审核员培训课程 (两天)

ISMS基础培训课程? (两天)

ISMS风险评估培训课程? (两天)

ISMS业务持续性管理培训课程? (两天)

[ 返回顶部 ]
 

 

德国汉德技术监督服务有限公司 版权所有