时间:2017-02-28 15:33:29 作者:赞永企管
在这信息化应用日趋普遍,信息构成了组织的血液,信息资产成为企业越来越珍贵的财富,自然也就成为竞争者和破坏者刻意掠夺的对象。除了外部的威胁,内部的应用偏差也对信息的一致性、准确性和运转效率造成隐患。
保证信息安全不是仅有一个防火墙,或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。而引入信息安全管理体系就可以协调各个方面信息管理,从而使管理更为有效。
ISO27001是一个ISMS体系实施规范,并可使用该规范对组织的信息安全管理体系进行审核与认证,以保证组织能摆脱信息安全遭破坏。
ISO27001:2013标准,是建立信息安全管理体系(ISMS)的一套规范(Specification for Information Security Management Systems),其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准。当然,如果要得到认证机构最终的认证(对依据ISO27001建立的ISMS进行认证),还有一系列相应的注册认证过程。作为一套管理标准,ISO27001指导相关人员怎样去应用ISMS,其最终目的,还在于建立适合企业需要的信息安全管理体系。
信息化的发展,带来了方面与快捷,同样各种各样的威胁也接踵而至,企业能否从容应对各类威胁,能否在激烈的竞争中脱颖而出,领导者的决策固然是重要的,同时,保证自己关键技术、核心信息的安全性,给予客户更大的信心,同样是必不可少的关键因素。
目前,国内已经有不少各个行业的领跑者意识到保护自身信息的重要性,那么导入ISO27001标准,实施信息安全管理体系,实现持续改进,成为了各个行业首选,特别在金融、保险、IT行业、证券等行业,信息安全体系已经初具规模。
组织可以按照先进的信息安全管理标准ISO/IEC 27001建立、实施并保持一个完整的信息安全管理体系,达到动态的、系统的、全员参与的、制度化的、用最低的成本,达到可接受的信息安全程度,从根本上保证业务的可持续性,有效保护信息资源,保护信息化进程健康、有序、可持续发展。通过ISO27001认证,可以增进组织间电子商务往来的信用度,能够建立起网站和贸易伙伴之间的互相信任,随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益,并为广大用户和服务供应商提供一个基础的设备管理。同时,把组织的干扰因素降到最小,创造更大收益。
实施目标
1. 落地信息安全管理体系
2. 建立自我完善的健壮安全体系
3. 提高组织的信息安全水平
4. 提升给予客户的信心
实施过程:
1. 项目启动阶段: 明确客户公司ISO27001项目的具体需求细节,初步了解客户公司目前的信息安全管理水平,成立双方项目团队。
2. 现状调研阶段: 从日常运维、管理机制、系统配置等方面对组织信息安全管理现状进行调研,通过培训使组织相关人员全面了解信息安全的基本知识。识别现有的管理体系与ISO27001的差距, 即管理体系的改进方向。
3. 风险评估阶段:制定风险评估计划、按计划实施现场访谈、调查、收集整理基础数据,进行风险识别、风险分析、风险处置等。
4. 体系策划阶段:建立以ISO27001为基础的管理职责框架,设计体现客户要求及信息风险控制的管理模式,参与人员掌握信息安全管理和公司整体绩效管理的原则和应用。
5. 体系建立阶段:根据策划的安全框架,编制信息安全体系各级文件,包括手册、SOA、程序文件、策略文件、记录模板等;
6. 体系运行阶段:组织各个新建体系知识、策略的培训,并对培训结果进行考核,对试运行数据进行统计分析,对表现出的问题提出改进措施并监督整改,评估流程执行情况,及时上报相关情况给管理层。经过一定时间运行,体系达到一个稳定的状态,各项文档和记录已经建立完备,此时,培训内审员,进行内审演练。
7. 外部审核阶段:经过两个阶段的第三方审核,并改进不符合项之后,可获得证书。
ISO27001体系设计阶段具体包括指定以下:
1)安全策略
2)信息安全的组织
3)资产管理
4)人力资源安全
5)物理和环境安全
6)通信和操作管理
7)访问控制
8)信息系统开发与获取
9)信息安全事故管理
10)业务连续性管理
11)符合性。
效果收益
1. 企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位, 对组织充满信心。
2. 定期的监督审核将确保组织的信息系统不断地被监督和改善,并以此作为增强信息安全性的依据, 对组织的关键信息资产进行全面系统的保护,保持竞争优势。
3. 信任、信用及信心:使客户及利益相关方感受到组织对信息安全的承诺。
4. 60%的组织在过去的两年内信息及信息系统遭到过破坏,建立信息安全管理体系能降低这种风险,通过第三方的认证能增强投资者及其他利益相关方的投资信心。
5. 通过认证能够向政府及行业主管部门证明组织对相关法律法规的符合性,提高组织的知名度与信任度。
6. 通过认证能保证和证明组织所有的部门对信息安全的承诺。
7. 通过认证可改善全体的业绩、消除不信任感和拓展业务。
8. 获得国际认可的机构的认证证书,可得到国际上的承认。
9. 强化员工的信息安全意识,规范组织信息安全行为。