在信息化程度日益提高的今天,信息安全正遭受著來自組織內部、外部的威脅,可能是惡意破壞、也可能是意外操作。信息安全就是組織應明確需要保護的信息資源,確保信息的機密性、完整性和可用性,并保持良好的協調狀態。信息安全對政府和企業都非常重要,為了防止信息安全事故或事件的發生,盡管在技術方面采取了防火墻和入侵監測系統等防范措施,但是人為因素造成的安全風險仍然占有很高的比率。只有將信息安全問題納入到組織的管理體系框架內,才能從制度上保證組織更好的符合信息安全相關法律法規,只有將組織的信息安全風險降低到可接受的水平、將技術和管理手段有機地結合在一起,才能從根本上解決信息安全問題,保證業務的連續性。因此,建立信息安全管理體系十分必要。
ISO27001信息安全管理體系(ISMS:Information Security Management System),它是系統地對組織敏感信息進行管理,涉及到人、程序和信息技術系統。其依據是信息安全管理體系標準——ISO27001和ISO27001清晰地定義了ISMS,并對組織必要的主要安全管理過程進行了詳細地描述。通過對組織信息系統十個方面的處置,建立目前完善的信息安全管理體系。總體是對資產管理、威脅防范、內部脆弱性管理的有機結合以防范風險、全面解決信息安全問題。在ISO27001中,技術解決手段仍然是重要部分,包括通信與操作管理、訪問控制、系統開發與維護、物理和環境安全等。
ISO27001將信息安全放在一個信息系統中來看待,它引入了安全政策、組織安全,從宏觀上將信息安全融入到整個組織的政策中以加強信息安全。同時它也引入了業務持續性管理、符合性等措施,將信息安全與組織的業務緊密聯系在一起,將業務目標作為實現信息安全的導向。人的因素仍然是網絡安全管理的重要因素,ISO27001相應地引入了人事安全等措施以控制人的因素所造成的風險。ISO27001所設定的ISMS是一個動態的可以自身完善的系統,它通過PDCA過程來實現持續完善。
1. 準備階段
準備階段是信息安全管理體系ISMS體系建立的基礎,在準備階段,主要工作過程包括:
①編寫項目實施方案;
②成立項目組;
③前期項目培訓;
④標準內容培訓;
⑤簽訂保密協議;
⑥項目啟動會;
⑦階段評審。
本階段應確定的內容:從的業務出發并通過與組織溝通明確信息安全管理體系ISMS項目的實施范圍、業務流程所依賴的信息系統、項目實施框架、明確信息安全所涉及到的人員、部門和職能并確定雙方在項目中的工作責任和范圍、松緊適度的合理的項目日程規劃并應獲得客戶審批。本階段應該達到以下效果:得到組織高層的實際支持與承諾、雙方項目組人員分工明確、客戶方項目組人員對信息安全管理體系ISMS以及項目將要涉及到的與之相關的工作有較為清晰的認知,以保證在以下的項目實施過程中能夠進行積極、有效地配合。
2. 實施階段
(1)系統調研。在調研的過程中,調研人員應明確要調研的目標并控制好調研時間與引導好調研內容。針對不同調研對象,應有不同調研側重點。
(2)業務影響分析。信息安全管理體系ISMS的最終目標是保障組織的各項業務能夠順利、有效的開展。業務分析的目標包括對組織的各級部門核心業務目標、組織架構、關鍵業務流程進行分析,通過對信息數據流轉情況的分析,為后面差距分析和風險分析過程的資產識別、脆弱點確認和威脅描述提供基礎。
(3)差距分析。差距分析是實施ISMS的重要環節。差距分析要對調研結果進行綜合分析,編寫差距分析報告,列出差異之處并計劃實際資源投放,為下一步的工作做好鋪墊。最好將差距分析報告交給客戶方評審,通過后進行下一步工作。
(4)風險評估。風險評估是從信息安全的角度來為組織I T環境進行合理劃分,找出技術上的不足和管理上的缺陷,為今后的方案設計和具體實施提供基礎。
(5)撰寫體系文件。防范措施的選擇要綜合考慮目前該信息系統的實際情況、客戶需求和組織的行業特點(如禁忌)、相關商業活動等進行選擇,確定可接受的殘余風險,并輸出控制手段實施的日期。
信息安全管理體系ISMS體系文件由四級文件構成:方針性文件、規定性文件、程序性文件、記錄性文件。
上述內容應得到客戶方同意,方可將報告內的控制手段轉化為具體行動。在控制措施實施過程中,應注意控制實施進度和資源以努力用最少的資源達到最好的效果,如果不同的進度應用的是相同的資源,則可以考慮在其重疊的部分同時進行。
3. 試運行及改善階段
在信息安全管理體系ISMS正式運行前,應對體系進行試運行。結合信息系統的實際情況、客戶需要、項目特點等確定試運行的時間。在信息安全管理體系ISMS試運行之前,應與組織高管進行充分溝通,得到必要的支持以及明確要做的具體工作,同時要進行信息安全管理體系ISMS的推廣培訓以減少體系運行的阻力,在培訓中要做到:根據組織的規模選擇培訓對象、針對不同的培訓對象培訓不同的內容。在體系試運行過程中,審核員應對信息安全管理體系ISMS進行評審,并應保持跟組織中層管理者的充分交流,發現有問題的地方,進行相應的調整以確保信息安全管理體系ISMS的建立。
建立信息安全管理體系ISMS并不是組織信息安全的終點,后續的維護和改善在某種意義上更為重要。信息安全的最大挑戰在于必須面對各種各樣的威脅源、不斷更新和不可預知的方法、在不確定的時間對阻止重要信息資產產生破壞,所以必須要有能夠進行持續改善的績效管理。對信息安全管理體系ISMS長期的維護和不斷改善才能確保信息系統的安全與時俱進,至少半年應該做一次全面審核。如果項目條件允許,那么制作一個全面而均衡的量測體系則會為ISMS的績效管理提供較準確的評測尺度以能夠持續而有效的改進信息安全管理體系ISMS。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
