ISO27001認證
ISO27001信息安全管理(lǐ)系統标準
随着網絡逐步的進入社會(huì)。越來(lái)越多的接解到(dào)網絡。網絡的普及給人們的生活帶來(lái)了(le)極大(dà)的便利;但(dàn)網絡同時(shí)作(zuò)一柄雙刃劍,給社會(huì)用(yòng)個人也(yě)帶來(lái)了(le)相當的威脅。當信息被意外(wài)或刻意的傳給惡意的接收者時(shí),對(duì)個人或單位都會(huì)帶來(lái)極大(dà)的傷害。有的企業會(huì)因爲信息的外(wài)洩而倒閉。在當今的信息時(shí)代,科技無疑爲我們解決了(le)很(hěn)多問題。
國際标準組織(ISO)應此類需求,制定了(le)ISO27001:2013标準,爲如何建立、推行、維持及改善信息安全管理(lǐ)系統提供幫助。信息安全管理(lǐ)系統(ISMS)是高(gāo)層管理(lǐ)人員用(yòng)以監察及控制信息安全、減少商業風(fēng)險和(hé)确保保安系統持續符合企業、客戶及法律要求的一個體系。ISO/IEC 27001:2005 能(néng)協助機構保護專利信息,同時(shí)也(yě)爲制定統一的機構保安标準搭建了(le)一個平台,更有助于提升安全管理(lǐ)的實務表現(xiàn)和(hé)增強機構間商業往來(lái)的信心與信任。
什(shén)麽機構可采用(yòng) ISO/IEC 27001:2005 标準?
任何使用(yòng)内部或外(wài)部電腦(nǎo)系統、擁有機密資料及/或依靠信息系統進行商業活動地機構,均可采用(yòng) ISO/IEC 27001:2005标準。簡單的說,也(yě)就是那些(xiē)需要處理(lǐ)信息、并認識到(dào)信息保護重要性的機構。
ISO/IEC 27001 的控制目标及措施
ISO/IEC 27001制定的宗旨是确保機構信息的機密性、完整性及可用(yòng)性,爲達成上(shàng)述宗旨,該标準共提出了(le)39個控制目标及134項控制措施,推行ISO/IEC 27001标準的機構可在其中選擇适用(yòng)于其業務的控制措施,同時(shí)也(yě)可增加其他(tā)的控制措施。而與ISO/IEC 27001相輔的 ISO 17799:2005 标準是信息安全管理(lǐ)的實務守則,爲如何推行控制措施提供指引。
ISO/ IEC 27001:2013 的架構
ISO/ IEC 27001:2013 标準在 2015 年 6月公布,同時(shí)取締了(le)多國采納的英國标準BS 7799-2:2002 ,但(dàn)新舊标準的要求并無太大(dà)分别。ISO / IEC 27001:2005 标準以 Edward Deming 博士提出的“計(jì)劃-實施-核查-采取行動”循環周期作(zuò)爲制定藍圖,以實現(xiàn)持續改善的目标。
I. 計(jì)劃
計(jì)劃最重要的部分是設定涵蓋的範疇及區(qū)域,它可以是:
覆蓋整個組織并涉及多個地點的辦事(shì)處及/或廠(chǎng)房
隻涉及一個辦事(shì)處或廠(chǎng)房
隻涉及一個多元化服務供應商的其中一個業務
計(jì)劃的主要工(gōng)作(zuò)包括信息安全管理(lǐ)系統、風(fēng)險評估、風(fēng)險管理(lǐ)、風(fēng)險處理(lǐ)措施和(hé)适用(yòng)性報(bào)告。
信息安全管理(lǐ)系統是運營風(fēng)險整體管理(lǐ)系統的其中一部分,目的是建立、實施、推行、檢讨、維持及改善信息安全。
機構在信息的機密性、完整性和(hé)可用(yòng)性三方面的目标各是什(shén)麽呢(ne)?什(shén)麽程度的風(fēng)險是可接受的?是否存在任何限制,如法律、法規或機構内部程序?信息安全政策應該是一份由行政總監簽署認可的文(wén)件。控制措施應采取由上(shàng)至下(xià)的推行方式。
風(fēng)險評估根據需要保護的信息和(hé)可接受的風(fēng)險程度來(lái)識别真正的風(fēng)險,并就這(zhè)些(xiē)風(fēng)險出現(xiàn)的可能(néng)性與其影響的嚴重性作(zuò)出評估,從(cóng)而辨别出機構需要管理(lǐ)的風(fēng)險,即下(xià)圖紅(hóng)色部分内的風(fēng)險。
風(fēng)險管理(lǐ) / 風(fēng)險處理(lǐ)
完成風(fēng)險評估後,便要決定如何處理(lǐ)這(zhè)些(xiē)風(fēng)險。
适用(yòng)性報(bào)告 (Statement of Applicability)
識别出所有的保安措施,指出哪些(xiē)對(duì)機構而言是适用(yòng)或不适用(yòng)的,并說明(míng)原因。必須針對(duì)風(fēng)險評估的結果來(lái)選擇控制措施。
II. 實施
選定了(le)控制措施後,便需落實推行,同時(shí)也(yě)需制定程序以确保能(néng)夠迅速察覺到(dào)事(shì)故的發生并作(zuò)出回應,并确保所有員工(gōng)都了(le)解信息安全的重要性,且确保其接受了(le)适當的培訓,及有能(néng)力執行他(tā)們負責的保安任務。此外(wài),還要妥善管理(lǐ)所需的資源。
III. 核查
核查的目的是确保控制措施都已推行,并能(néng)達到(dào)既定的目标。盡管有多種可行的核查方法,但(dàn)隻有内部審核與管理(lǐ)檢讨是強制性的要求。
IV. 采取行動
最後便需對(duì)核查結果采取适當的行動,相關的行動可以是:
修正
預防
改善
總結
ISO/IEC 27001:2013 标準爲所有行業的機構都提供了(le)一套業務工(gōng)具,協助其避免信息保安的失誤,從(cóng)而降低(dī)了(le)相應的風(fēng)險。正式推行ISO/IEC 27001:2005 并取得有關認證的機構将受益匪淺,以下(xià)列舉其中數項:
由于按照國際标準實施适當的控制措施,機構便能(néng)自(zì)行将信息保安的失誤率降至最低(dī)
以系統化的方法計(jì)劃及管理(lǐ)運營的持續性
以系統化的方法處理(lǐ)符合法律的問題,從(cóng)而減低(dī)所需承擔的法律責任風(fēng)險
提升營運收入,并爲機構帶來(lái)更多商機
增加客戶、合作(zuò)夥伴和(hé)相關人士對(duì)機構的信心