欄目導航

聯系方式:

免費咨詢熱線:
17704812605 14747106719
查看(kàn)詳情+

ISO27001認證

當前位置: 主頁 > ISO27001認證 >
認識ISO27001國際标準
       ISO27001(BS7799/ISO17799)國際标準究竟是什(shén)麽?它如何幫助一個組織更加有效地管理(lǐ)信息安全?BS7799/ISO27001和(hé)ISO9001之間有什(shén)麽聯系?初次涉獵信息安全管理(lǐ)領域應該掌握哪些(xiē)内容,以便組織發起信息安全管理(lǐ)項目?如何獲得BS7799國際标準認證? 
 
       IT治理(lǐ)和(hé)信息安全
       近年來(lái)企業高(gāo)層對(duì)内部治理(lǐ)需求越來(lái)越實際而具體。随着信息技術普遍滲透到(dào)企業組織中的各個方面,企業越來(lái)越依賴IT系統來(lái)處理(lǐ)和(hé)儲存各種信息,以保證業務正常運營,由此IT系統在企業治理(lǐ)中的作(zuò)z用(yòng)越來(lái)越明(míng)晰,IT治理(lǐ)也(yě)逐漸被大(dà)多數企業認可,成爲董事(shì)會(huì)和(hé)企業内部共同關注的領域。IT治理(lǐ)的基礎部分是信息安全保護——包括确保信息的可用(yòng)性、機密性和(hé)完整性——這(zhè)是其他(tā)IT治理(lǐ)環節實施的前提。 
       與此同時(shí),和(hé)信息安全相關的國際标準已經出台,成爲标準IT治理(lǐ)框架中的一大(dà)基石。 
 
       信息安全和(hé)法律法規
       業内人士對(duì)ISO27001認證趨之若鹜,這(zhè)其中有兩個關鍵性的驅動因素:一是日益嚴峻的信息安全威脅,二是不斷增長的信息保護相關法規的需求。
       本質上(shàng)說,信息安全威脅是全球化的。一般來(lái)說,它将毫無差别地輻射到(dào)每一個擁有、使用(yòng)電子信息的機構和(hé)個人。這(zhè)種威脅在因特網的環境中自(zì)動生成并釋放(fàng)。更嚴重的問題是,其他(tā)各種形式的危險也(yě)在整日威脅數據安全,包括從(cóng)外(wài)部攻擊行爲到(dào)内部破壞、偷盜等一系列危險。
       過去的十年内,圍繞信息和(hé)數據安全問題建立起來(lái)的法律法規體系從(cóng)無到(dào)有、不斷壯大(dà),其中包括專門(mén)針對(duì)個人數據保護問題的,也(yě)有針對(duì)企業财政、運營和(hé)風(fēng)險管理(lǐ)體系建立的法規保障問題的。一套正式規範的信息安全管理(lǐ)體系應當可以提供最佳實踐部署指導。目前,建立這(zhè)樣的管理(lǐ)體系逐漸成爲諸多合規項目的必要條件,與此同時(shí),針對(duì)該管理(lǐ)體系的認證逐漸成爲各種組織(包括政府部門(mén))的熱門(mén)需求,這(zhè)份認證可以爲他(tā)們帶來(lái)重要的潛在商業合同。 
 
       信息安全和(hé)技術
       絕大(dà)多數人認爲信息安全是一個純粹的有關技術的話(huà)題,隻有那些(xiē)技術人員,尤其是計(jì)算(suàn)機安全技術人員,才能(néng)夠處理(lǐ)任何保障數據和(hé)計(jì)算(suàn)機安全的相關事(shì)宜。這(zhè)固然有一定道(dào)理(lǐ)。不過,實際上(shàng),恰恰是計(jì)算(suàn)機用(yòng)戶本身需要考慮這(zhè)樣的問題:避免哪些(xiē)威脅?在信息安全和(hé)信息通暢中如何平衡取舍?的确如此,一旦用(yòng)戶給出答(dá)案,計(jì)算(suàn)機安全專家就可以設計(jì)并執行一個技術方案以達成用(yòng)戶需求。
       在組織内部,管理(lǐ)層應當負責決策,而不是IT部門(mén)。一個規範的信息安全管理(lǐ)體系必須明(míng)确指出,組織機構董事(shì)會(huì)和(hé)管理(lǐ)層應當負責相關信息安全管理(lǐ)體系的決策,同時(shí),這(zhè)個體系也(yě)應當能(néng)夠反映這(zhè)種決策,并且在運行過程中能(néng)夠提供證據證明(míng)其有效性。
       所以機構組織内部的信息安全管理(lǐ)體系的建立項目不必由一個技術專家來(lái)領導。事(shì)實上(shàng),技術專家在很(hěn)多情況下(xià)起到(dào)相反的作(zuò)用(yòng),可能(néng)會(huì)阻礙項目進程。因此,這(zhè)個項目應該由質量管理(lǐ)經理(lǐ)、總經理(lǐ)或者其他(tā)負責機構内部重大(dà)職能(néng)的執行主管負責主持。 
 
       信息安全标準
       1995年,英國标準機構(BSI)發布BS7799标準,即ISMS(信息安全管理(lǐ)體系),旨在規範、引導信息安全管理(lǐ)體系的發展過程和(hé)實施情況。BS7799标準被外(wài)界認爲是一個不偏向任何技術、任何企業和(hé)産品供應商的價值中立的管理(lǐ)體系。隻要實施得當,BS7799标準将幫助企業檢查并确認其信息安全管理(lǐ)手段和(hé)實施方案的有效性。
       從(cóng)企業外(wài)部來(lái)看(kàn),BS7799關注信息的可用(yòng)性、機密性和(hé)完整性,至今這(zhè)仍然是這(zhè)項标準緻力達到(dào)的目标。BS7799集中關注企業組織層面上(shàng)的風(fēng)險規避(一定程度上(shàng)主要是商業和(hé)金(jīn)融風(fēng)險),而不包括避免每一個潛在風(fēng)險的保護措施——盡管它們至關重要。
       BS7799最初僅有一份文(wén)檔,且具有明(míng)顯的實踐指南性質。也(yě)就是說,它爲組織提供信息安全指引,但(dàn)沒有形成規範,不能(néng)爲外(wài)部第三方審計(jì)和(hé)認證等提供依據。随着越來(lái)越多的企業開(kāi)始認識到(dào)來(lái)自(zì)信息安全的威脅波及範圍越來(lái)越廣,影響程度越來(lái)越大(dà),并且關于數據和(hé)隐私權保護的法律法規不斷出台,信息安全标準認證的需求開(kāi)始不斷增加。
       這(zhè)種需求的增加最終促成了(le)該項标準第二部分的出台,即标準規範。實踐指南和(hé)标準規範之間的關系是這(zhè)樣的:标準規範是認證方案的基礎,同時(shí)标準規範要求實踐者遵從(cóng)實踐指南的指引。 
       這(zhè)個實踐指南最近被修訂爲ISO/IEC 17799:2005,标準規範也(yě)被修訂爲ISO/IEC 27001:2005,逐步得到(dào)國際認同。
       許多國家也(yě)已發布了(le)自(zì)己的相關标準,比如AS/NZS7799。這(zhè)些(xiē)标準的國際化版本可以在世界任何國家得到(dào)認可,這(zhè)促使了(le)本土化标準的消退(除了(le)基于兩個标準号碼基礎上(shàng)的本土化标準以外(wài))。
 
       認證與遵從(cóng)
       一個組織可以僅遵從(cóng)ISO17799來(lái)建立和(hé)發展ISMS(信息安全管理(lǐ)體系),因爲實踐指南中的内容是普遍适用(yòng)的。然而,由于ISO17799并非基于認證框架,它不具備關于通過認證所必需的信息安全管理(lǐ)體系的要求。而ISO/EC27001則包含這(zhè)些(xiē)具體詳盡的管理(lǐ)體系認證要求。在技術層面來(lái)講,這(zhè)就表明(míng)一個正在獨立運用(yòng)ISO17799的機構組織,完全符合實踐指南的要求,但(dàn)是這(zhè)并不足以讓外(wài)界認可其已經達到(dào)認證框架所制定的認證要求。不同的是,一個正在同時(shí)運用(yòng)ISO27001和(hé)ISO17799标準的機構組織,可以建立一個完全符合認證具體要求的ISMS,同時(shí)這(zhè)個ISMS體系也(yě)符合實踐指南的要求,于是,這(zhè)一組織就可以獲得外(wài)界的認同,即獲得認證。
 
       ISO27001認證要求與其他(tā)管理(lǐ)标準
       ISO27001标準是爲了(le)與其他(tā)管理(lǐ)标準,比如ISO9000和(hé)ISO14001等相互兼容而設計(jì)的,這(zhè)一标準中的編号系統和(hé)文(wén)件管理(lǐ)需求的設計(jì)初衷,就是爲了(le)提供良好(hǎo)的兼容性,使得組織可以建立起這(zhè)樣一套管理(lǐ)體系:能(néng)夠在最大(dà)程度上(shàng)融入這(zhè)個組織正在使用(yòng)的其他(tā)任何管理(lǐ)體系。一般來(lái)說,組織通常會(huì)使用(yòng)爲其ISO9000認證或者其他(tā)管理(lǐ)體系認證提供認證服務的機構,來(lái)提供ISO27001認證服務。正是因爲這(zhè)個緣故,在ISMS體系建立的過程中,質量管理(lǐ)的經驗舉足輕重。
       但(dàn)是有一點需要注意,一個組織如果沒有事(shì)先擁有并使用(yòng)任何形式的管理(lǐ)體系,并不意味着該組織不能(néng)進行ISO27001認證。這(zhè)種情況下(xià),該組織就應當從(cóng)經濟利益考慮,選擇一個合适的管理(lǐ)體系的認證機構來(lái)提供認證服務。認證機構必須得到(dào)一個國家鑒定機構的委托授權,才能(néng)爲認證組織提供認證服務,并發放(fàng)認證證書。大(dà)多數國家都有自(zì)己的國家鑒定機構(比如:英國UKAS),任何獲得該機構授權進行ISMS認證的機構均記錄在案。
 
       風(fēng)險評估和(hé)風(fēng)險應對(duì)計(jì)劃
       任何一個ISMS體系的建立和(hé)開(kāi)發都應當滿足組織獨特的需求。每個組織不僅都有自(zì)己獨特的業務模式、運營目标、形象特點和(hé)内部文(wén)化,他(tā)們對(duì)待風(fēng)險的态度傾向也(yě)大(dà)相徑庭。換句話(huà)說,同一個東西,一個機構組織認爲是必須提防的威脅,在另一個組織看(kàn)來(lái)可能(néng)是一個必須抓住的機遇。同樣地,各個機構組織對(duì)于既有風(fēng)險防護的投入也(yě)參差不齊。基于以上(shàng)或者其他(tā)原因,每個運行ISMS的組織,其内部成員必須對(duì)風(fēng)險評估有一個共識,這(zhè)個風(fēng)險評估的方法論、結果發現(xiàn)和(hé)推薦解決方式都必須得到(dào)董事(shì)會(huì)的首肯。
 
       着手準備ISMS項目和(hé)PDCA流程
       ISMS項目很(hěn)複雜(zá),可能(néng)持續若幹個月甚至若幹年,涉及整個機構組織以及從(cóng)管理(lǐ)層到(dào)收發部門(mén)的每個成員。ISO27001認證誕生時(shí)間短,成功的案例比較少。從(cóng)務實的角度考慮,這(zhè)表明(míng)在項目計(jì)劃過程中,必須盡早對(duì)這(zhè)些(xiē)僅有的指導性的書籍和(hé)案例進行分析和(hé)研究。
       ISO27001标準指導一個企業如何着手開(kāi)展ISMS項目,并且關注整個項目進程中的若幹重要元素。
       1950年W. Edwards Deming提出PDCA流程,即計(jì)劃(Plan)-執行(Do)-檢查(Check)-提升(Act)過程,意在說明(míng)業務流程應當是不斷改進的,該方法使得職能(néng)部門(mén)經理(lǐ)可以識别出那些(xiē)需要修正的環節并進行修正。這(zhè)個流程以及流程的改進,都必須遵循這(zhè)樣一個過程:先計(jì)劃,再執行,而後對(duì)其運行結果進行評估,緊接着按照計(jì)劃的具體要求對(duì)該評估進行複查,而後尋找到(dào)任何與計(jì)劃不符的結果偏差(即潛在改進的可能(néng)性),最後向管理(lǐ)層提出如何運行的最終報(bào)告。
網站(zhàn)首頁 /關于我們 /服務項目 /服務流程 /案例展示 /聯系我們

17704812605 / 14747106719

郵箱:nmgaskx@163.com
地址:内蒙古呼和(hé)浩特市賽罕區(qū)新華東街耕耘大(dà)廈2樓

Copyright © 2018 内蒙古碩航信息技術服務有限公司 版權所有 
備案号: 點擊這(zhè)裏給我發消息