ISO27001信息安全管理體系(Information Security Management System)作為組織完整的管理體系中的一個重要環節,構成了信息安全具有能動性的部分,是指導和控制組織的關于信息安全風險的相互協調的活動,其針對對象就是組織的信息資產。了解信息安全管理的方法,我們必須先明確企業或組織的信息安全需求。一般來說,企業的信息安全需求主要有三個來源,他們分別是法律法規與合同條約的要求;組織的原則、目標和規定;風險評估的結果等。
信息安全的成敗取決于兩個因素:技術和管理,人們常說,三分技術,七分管理,可見管理對信息安全的重要性,我們可以把安全技術比作信息安全的構筑材料,那么安全管理則是真正的粘合劑和催化劑。現實世界里,大多數安全事件的發生和安全隱患的存在,與其說是技術上的原因,不如說是管理不善造成的,理解并重視管理對于信息安全的關鍵作用,對于真正實現信息安全目標來說尤其重要。信息安全不是產品的簡單堆積,也不是一次性的靜態過程,它是人員、技術、操作這三種要素的緊密結合的系統工程,是不斷演進、循環發展的動態過程。
信息安全管理是指導和控制組織的關于信息安全風險的相互協調的活動。首先應該制定信息安全的策略方針,它是信息安全管理的導向和支持,在此基礎上選擇控制目標與控制方式,企業和組織還需考慮控制成本與風險平衡的原則,將風險降低到組織可接受的水平,整個管理過程需要全員的參與,實施動態管理。實施安全管理,還應遵循管理的一般模式——PDCA模型。
PDCA模型,即Plan、Do、Check和Act,是一種持續改進的管理模式,見下圖所示。
措施(Action)——針對檢查結果采取應對措施,改進安全狀況;
計劃(Plan)——根據風險評估結果、法律法規要求、組織業務運作自身需要來確定控制目標與控制措施;
實施(Do)——實施所選的安全控制措施;
檢查(Check)——依據策略、程序、標準和法律法規,對安全措施的實施情況進行符合性檢查。
PDCA模型是一種抽象的模型,它把相關的資源和活動抽象為過程進行管理,具有廣泛通用性。PDCA是順序依次進行的,依靠組織的力量推動,周而復始,不斷循環,持續改進,組織中的每個部門和個人,在履行相關職責時,都是基于PDCA這個過程的,組織的內部管理,就構成了大環套小環層層遞進的模式,每一次循環結束,都要對其進行總結,鞏固成績,改進不足,同時提出新的目標,以便進入下一次更高級的循環。
ISO27000/ISO27001標準對于信息安全管理體系的定義如下圖所示:
ISO27001信息安全管理可操作的一般過程和相應的活動包括:
1、確定組織的信息安全目標和戰略
2、開發信息安全策略
3、進行風險評估(Risk Assessment),明確組織的信息安全需求,具體活動包括:
3.1、制定風險評估計劃(明確范圍和責任,采集相關信息,描述目標系統);
3.2、識別并評價信息資產,理解資產的價值和敏感性;
3.3、識別并評估威脅,理解威脅發生的可能性;
3.4、識別并評價弱點,理解弱點被利用的容易程度;
3.5、評估風險,確定風險等級;
3.6、評估并比較現有的安全措施(控制),找出目標與現狀之間的差距;
3.7、根據已經明確的需求來推薦安全措施。
4、進行風險消減(Risk Mitigation),具體活動包括:
4.1、確定風險消減策略,以便減少、規避、轉嫁或接受風險;
4.2、選擇安全措施(控制);
4.3、制定安全計劃,明確安全措施的構建和實施方案;
4.4、實施安全計劃和策略;
4.5、對安全計劃和策略的實施結果進行測試和檢查。
5、進行風險控制(Risk Control),具體包括:
5.1、信息系統的維護與操作;
5.2、安全意識、培訓與教育;
5.3、對信息系統的運行和安全措施的效力進行監視;
5.4、事件響應;
5.5、再評估與認證。
6、配置管理(Configuration Management),確保系統發生的變化不會降低安全措施的效力和組織的整體安全。
7、變更管理(Change Management),當信息系統發生變化時,識別新的安全需求。
8、應急計劃(Contingency Planning),包括業務連續性計劃、災難恢復計劃等。
對應PCDA模型,信息安全目標與戰略的確定、信息安全策略開發以及風險評估屬于計劃階段(Plan),風險消減屬于實施階段(Do),風險控制、配置管理、變更管理、應急計劃以及安全意識培訓等活動都可以歸入到檢查(Check)和措施(Action)階段。我們所強調的信息安全管理模式,是由風險驅動的信息安全管理模式,是對組織的信息安全風險進行控制和指導的相互協調的活動,風險管理是其中的核心。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
