ISO27001标准内容介绍 信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分: BS7799-1,信息安全管理实施规则 BS7799-2,信息安全管理体系规范。第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。 ISO27001适用范围 信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。 通过实施信息安全管理体系ISMS,组织可获得以下方面的成功和收益: 1. 通过建立信息安全管理体系ISMS,由于构建了大量的流程文档,为组织在开展各项与安全相关的活动中提供了明确的目标和操作指引; 2. 通过建立信息安全管理体系ISMS,进一步明确分工,使安全风险和责任意识从传统的部门扩展到组织每个员工,提高了安全管理的整体效率; 3. 通过建立信息安全管理体系ISMS,组织的IT部门能够有效控制成本,提高信息安全水平和用户的满意度; 4. 通过构建静态的组织保障体系和实施动态的对整个体系进行调整、改善的PDCA过程,使组织安全管理从静态、被动、散乱的管理向动态、主动、系统的管理转变; 5. 通过把ISO27001的要求引入业务流程,使现有的业务运作更加符合安全规范,减少了流程和操作过程带来的安全风险;另外,通过完善信息资产管理,增强物理环境安全、网络安全、操作安全、定期ISMS进行审查,可以极大地提高组织对内部威胁、外部威胁的风险防范能力; 6. 实施信息安全管理体系ISMS为今后通过ISO27001认证做好了铺垫,组织通过国际安全风险管理认证,有助于提高客户的信任度,从而巩固在行业领域的专业形象和市场号召力。 实施ISO27001的经验总结 安全策略、目标的设置应符合业务目标;完善而平衡的测量体系将有助于信息安全管理体系ISMS的持续改进;由于ISMS的实施可能会涉及到组织结构和人员职责的变动,实施过程中要能够获得高管的支持与承诺、尽量保持原有组织文化、立足现在的组织分工与人员结构进行部署,并深化教育,避免由于强制推行信息安全管理体系ISMS引起实施阻力;风险是永远存在的,重点是组织是否有经过详尽的风险分析与评估,在明确风险后找到并采取对组织自身合适的技术手段、管理手段以控制风险让客户方能承受。组织面对的风险环境会变化;再者,信息安全管理体系ISMS的建立和完善本身是一整套管理制度的实施、多个流程的运作,并结合技术手段进行配合的过程。因此信息安全的控制目标、手段需持续改进。ISMS的建立是确保信息系统安全的起点,因此,信息安全管理体系ISMS的建立和实施是一个循序渐进的过程,不可能一蹴而就。  |
总部地址:天津市南开区红旗南路天拖融创中心o2写字楼
Copyright2005-2015 技术支持:天津网泰君悦信息技术有限公司 All rights reserved
微信扫一扫
"掌"上了解网泰君悦
