信息安全管理體系(InformationSecurityManagementSystems,ISMS)是組織整體管理系統(tǒng)的一部分。它是基于風險評估的一系列管理活動�,如信息安全的建立�����、實施����、運行�、監(jiān)控、審查�、維護和持續(xù)改進。它是一個組織在整體或特定范圍內(nèi)建立信息安全政策和目標的系統(tǒng)�,以及實現(xiàn)這些目標所采用的方法。
GB/T22080/ISO/IEC27001是建立和維護信息安全管理體系的標準�。它要求組織采取確定信息安全管理體系范圍、制定信息安全政策和策略��、明確管理職責���、基于風險評估選擇控制目標和措施等一系列流程�。它是一種動態(tài)的��、系統(tǒng)的��、系統(tǒng)的、預防性的組織信息安全管理方法���。
近年來企業(yè)高層對內(nèi)部治理需求越來越實際而具體�。隨著信息技術(shù)普遍滲透到企業(yè)組織中的各個方面����,企業(yè)越來越依賴IT系統(tǒng)來處理和儲存各種信息,以保證業(yè)務(wù)正常運營��。業(yè)內(nèi)人士對ISO27001認證趨之若鶩��,這其中有兩個關(guān)鍵性的驅(qū)動因素:一是日益嚴峻的信息安全威脅��,二是不斷增長的信息保護相關(guān)法規(guī)的需求���。
本質(zhì)上說�,信息安全威脅是全球化的��。一般來說�����,它將毫無差別地輻射到每一個擁有����、使用電子信息的機構(gòu)和個人��。這種威脅在因特網(wǎng)的環(huán)境中自動生成并釋放�。更嚴重的問題是���,其他各種形式的危險也在整日威脅數(shù)據(jù)安全��,包括從外部攻擊行為到內(nèi)部破壞�����、偷盜等一系列危險。
過去的十年內(nèi)�����,圍繞信息和數(shù)據(jù)安全問題建立起來的法律法規(guī)體系從無到有��、不斷壯大����,其中包括專門針對個人數(shù)據(jù)保護問題的,也有針對企業(yè)財政�����、運營和風險管理體系建立的法規(guī)保障問題的。一套正式規(guī)范的信息安全管理體系應(yīng)當可以提供最佳實踐部署指導�。目前,建立這樣的管理體系逐漸成為諸多合規(guī)項目的必要條件�����,與此同時�,針對該管理體系的認證逐漸成為各種組織(包括政府部門)的熱門需求,這份認證可以為他們帶來重要的潛在商業(yè)合同��。
ISO27001是信息安全管理體系���,這是關(guān)于信息風險管理有關(guān)的活動�。信息安全管理體系是一個總體的管理框架�����,通過該框架企業(yè)可以識別�����,分析和解決其信息風險。信息安全管理體系與安全威脅����,漏洞和業(yè)務(wù)影響的變化保持同步-這是動態(tài)領(lǐng)域中的重要方面,也是靈活的風險驅(qū)動方法的主要優(yōu)勢�,更多關(guān)于ISO27001認證的意義請點此處。
該標準涵蓋了所有類型的組織�����,各種規(guī)模以及所有行業(yè)或市場����。顯然,ISO27001信息安全管理體系可以被各行各業(yè)廣泛的應(yīng)用����。
在當今社會中信息化技術(shù)日益發(fā)展����,水平不斷上升,信息安全不斷成為人們關(guān)注的焦點ISO27001信息安全管理體系提供了一套綜合的����、由信息安全最佳慣例組成的實施規(guī)則,其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準�,并且適用于大���、中、小組織���。
企業(yè)申請ISO27000認證的流程大致如下
1企業(yè)自身建立ISO27001信息安全管理體系�。
2認證機構(gòu)評估費用和正式審核時間���。
3向認證機構(gòu)遞交正式申請
4(可選項)認證機構(gòu)將進行預審��,在正式審核前排除一些重大的確失�����,同時讓客戶熟悉審核的方法危險評估�����,審查方針����,范圍和采用的程序�����。檢查體系中遺漏和繁瑣需要修改的地方。
5(可選項)認證機構(gòu)將進行預審���,在正式審核前排除一些重大的確失����,同時讓客戶熟悉審核的方法危險評估�,審查方針,范圍和采用的程序��。檢查體系中遺漏和繁瑣需要修改的地方�。
6認證機構(gòu)將進行第二階段審核,主要進行實施審核���,查看程序規(guī)定的執(zhí)行情況���。認證機構(gòu)通常將現(xiàn)場審核并給出建議。
7如果能順利完成審核��,在確定清楚認證范圍后�����,發(fā)放信息安全體系證書���。在滿足持續(xù)審核情況下��,三年有效�。
注意事項
先從自咨詢ISO27001信息安全管理體系開始�����,然后運行ISO27001信息安全管理體系����,應(yīng)有針對性地宣貫信息安全管理體系文件。體系文件的培訓工作是體系運行的首要任務(wù)���,培訓工作的質(zhì)量直接影響體系運行的結(jié)果�����。組織應(yīng)根據(jù)培訓工作計劃的安排并按照培訓程序的要求對全體員工實施培訓��。通過培訓使全體員工認識到新建立或完善的信息安全管理體系是對過去信息安全管理體系的變革�,是為了向國際先進的信息安全管理標準接軌����,要適應(yīng)這種變革和新管理體系的運行����,就必須認真學習���、貫徹信息安全管理體系文件����。
加強自身的管理體系水平��,不僅是信息安全管理體系試運行本身的需要���,也是保證試運行成功的關(guān)鍵����。所有與信息安全管理體系活動有關(guān)的人員都應(yīng)按體系文件要求�����,做好信息安全的信息收集��、分析��、傳遞��、反饋�、處理和歸檔等工作。信息安全體系文件屬于組織的信息資產(chǎn)���,包含有關(guān)組織的全部安全管理等敏感信息��,組織應(yīng)按照信息分類的原則對其進行分類�、進行密級標注并實行嚴格的安全控制����,未經(jīng)授權(quán)不得隨意復制或借閱。
解決體系試運行中暴露出的問題�,如體系設(shè)計不周、項目不全等進行協(xié)調(diào)�、改進。信息安全管理體系的運行涉及組織體系范圍的各個部門�,在運行過程中,各項活動往往不可避免的發(fā)生偏離標準的現(xiàn)象��,因此���,組織應(yīng)按照嚴密��、協(xié)調(diào)����、高效、精簡���、統(tǒng)一的原則�����,建立信息反饋與信息安全協(xié)調(diào)機制對異常信息反饋和處理����,對出現(xiàn)的問題加以改進���,并保證體系的持續(xù)正常運行����。
實踐是檢驗真理的唯一標準����。 體系文件通過試運行必然會出現(xiàn)一些問題,全體員工應(yīng)將實踐中出現(xiàn)的問題和改進意見如實反饋給有關(guān)部門��,以便采取糾正措施。
客服咨詢
158-0008-7775 
