信息安全管理要求ISO/IEC27001的前身為英國的BS7799標(biāo)準(zhǔn)��,該標(biāo)準(zhǔn)由英國標(biāo)準(zhǔn)協(xié)會(BSI)于1995年2月提出,并于1995年5月修訂而成的�����。1999年BSI重新修改了該標(biāo)準(zhǔn)。BS7799分為兩個部分: BS7799-1����,信息安全管理實(shí)施規(guī)則; BS7799-2,信息安全管理體系規(guī)范���。 第一部分對信息安全管理給出建議����,供負(fù)責(zé)在其組織啟動����、實(shí)施或維護(hù)安全的人員使用;第二部分說明了建立、實(shí)施和文件化信息 管理體系(ISMS)的要求���,規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求���。
ISO27001和ISO20000認(rèn)證已經(jīng)成為企業(yè)核心競爭力的重要標(biāo)志。
ISO27001是國際上針對信息安全的權(quán)威認(rèn)證標(biāo)準(zhǔn)��,由BSI倡導(dǎo)制定���。BSI是國際標(biāo)準(zhǔn)化組織(ISO)�����、國際電工委員會(IEC)�、歐洲標(biāo)準(zhǔn)化委員會(CEN)、歐洲電工標(biāo)準(zhǔn)化委員會(CENELEC)���、歐洲電信標(biāo)準(zhǔn)學(xué)會(ETSI)創(chuàng)始成員之一����,廣為人知的ISO9000系列管理標(biāo)準(zhǔn)同樣是由BSI所倡導(dǎo)制定�����。
目前�,在信息安全管理方面,英國標(biāo)準(zhǔn)ISO27001:2013(前身為ISO27001:2005)已經(jīng)成為世界上最權(quán)威��、應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)�,它定義了11個信息安全控制域和133個控制項����,旨在幫助企業(yè)在安全策略�����、安全制度����、安全操作和管理流程等方面���,形成統(tǒng)一的信息安全管理體系�。115科技認(rèn)證范疇覆蓋如下:云存儲�、云社區(qū)和機(jī)構(gòu)組織信息化云平臺的設(shè)計、研發(fā)和服務(wù)的信息安全管理���。
隨著社會信息化的不斷發(fā)展����,信息本身蘊(yùn)含了巨大的價值�����,成為財富的主要來源之一�����。因此,信息安全的保障建設(shè)工作得到了越來越多組織和企業(yè)的關(guān)注和重視�����。為了有效管理組織內(nèi)部與信息安全相關(guān)的風(fēng)險�,基于ISO27001建立的信息安全管理體系 (ISMS)被認(rèn)為是最全面有效的方式。
通常企業(yè)在建設(shè)信息安全管理體系(ISMS)時�,可以根據(jù)自身需要,引入ISMS標(biāo)準(zhǔn)�����,來指導(dǎo)其ISMS建設(shè)����,如國際標(biāo)準(zhǔn)ISO27001。企業(yè)可以自行實(shí)施��,也可以請外部咨詢顧問����,來協(xié)助企業(yè)進(jìn)行整個體系建設(shè)的過程。從資產(chǎn)收集和分析��、風(fēng)險評估,到建立信息安全管理的框架��,并從信息系統(tǒng)的所有層面進(jìn)行整體安全建設(shè)��,并將其文檔化��,保持文件化的信息安全管理體系���。進(jìn)行審核與批準(zhǔn)并發(fā)布實(shí)施,信息安全管理體系進(jìn)入運(yùn)行階段���。組織通過加強(qiáng)運(yùn)作力度����,充分發(fā)揮體系本身的各項功能���,并通過內(nèi)審�,自我安全檢查等手段不斷完善體系和執(zhí)行�����,并最終通過外審獲得資質(zhì)認(rèn)證����。
在以往國內(nèi)實(shí)施ISMS建設(shè)的組織當(dāng)中�����,大多是按照這樣的過程來進(jìn)行的�����。ISMS建設(shè)的實(shí)施人員�,除了要具備必要的知識技能和管理意識外�,還要面臨大量具體、繁瑣而枯燥的工作�����,例如對信息資產(chǎn)的收集和維護(hù)過程���,以及對其進(jìn)行風(fēng)險評估時的大量文案工作;當(dāng)ISMS體系建立起來以后�,對體系的審核與維護(hù)過程非常復(fù)雜�����,面臨整改措施的跟蹤�����、流程的運(yùn)轉(zhuǎn)、信息的管理����、知識庫的沉淀等問題�。
在管理實(shí)踐過程中,將管理工作信息化是一種提高管理效率���、落實(shí)管理效果的常見手段����。那么���,將信息安全管理體系(ISMS)建設(shè)和運(yùn)轉(zhuǎn)過程固化到信息系統(tǒng)中是否可行呢?從體系的實(shí)施過程來說�����,國內(nèi)已經(jīng)有不少企業(yè)和組織都建立了信息安全管理體系����,可以將風(fēng)險管理與控制體系建設(shè)方法及過程在軟件系統(tǒng)中固化下來�,并建立與各種信息安全風(fēng)險控制相關(guān),與法規(guī)制度、標(biāo)準(zhǔn)指南相對應(yīng)的信息安全風(fēng)險控制的知識庫��。
Goo-ISMS首先為不同的安全角色定制了不同的視圖�,ISMS管理小組成員,各部門安全管理員��、部門和公司領(lǐng)導(dǎo)登陸系統(tǒng)后分別能看到自己在信息安全工作中用到的信息����。
化繁為簡的風(fēng)險管理工作
系統(tǒng)固化了多種信息安全風(fēng)險評估方法論。各部門安全管理員從軟件自帶的風(fēng)險知識庫中選擇各類資產(chǎn)的推薦風(fēng)險���,快速完成風(fēng)險評估工作�����。而ISMS安全管理小組成員則能非常方便的完成對各類發(fā)現(xiàn)的風(fēng)險進(jìn)行分析��、統(tǒng)計��、報告等�����,并能對歷次評估的風(fēng)險結(jié)果進(jìn)行比對��,了解風(fēng)險的趨勢變化����,這些都是以前靠手工統(tǒng)計難以完成的。
體系建立完成后�,ISO27001體系的運(yùn)行,整改措施的跟蹤�����,體系的內(nèi)審�、安全檢查�、管理評審、外部審核等工作����,通過軟件系統(tǒng)也很容易進(jìn)行管理落地,方便ISMS管理小組開展工作�,真正做到了體系的長期有效執(zhí)行。
客服咨詢
158-0008-7775 
