企業為什么要實施ISO27001認證
企業為什么要實施ISO27001認證
A:當公司的項目經理面對客戶時,客戶會問:“你如何保障我的信息在你們公司是安全的?你如何保證我公司的信息不會透露給第三方?”
B:當項目經理為此客戶解決了所有問題,雙方的合作僅差一步時,項目經理卻遇到這樣的問題:“下個月就需要交付了,本來工期就比較緊,該死的病毒將我上周的數據資料全刪掉了,我該怎么辦?”
C:經理很無奈地說:“又一個骨干員工離職了,多少公司的信息又會被傳播出去呀。”
D:最后事情到了總經理那里,總經理卻感到:“客戶在抱怨;項目不能如期交付;對客戶的承諾要食言,公司機密在外傳;公司的經營要出現危機,怎么辦?”
這是一個已經通過CMMI認證公司的無奈。想必在很多企業中,這類問題也是屢見不鮮的,在面臨這類問題時也是束手無策。俗話說“三分技術七分管理”,目前企業普遍采用現代化通信、計算機、網絡技術來構建組織的信息系統。但大多數組織的最高管理層對信息資產所面臨的威脅的嚴重性認識不足,缺乏明確的信息安全方針、缺乏完整的信息安全管理制度、相應的管理措施不到位。導致了許多信息安全事件的發生:系統癱瘓、黑客入侵、病毒感染、網頁改寫,甚至客戶資料的流失,以及公司內部資料的泄漏等等。這些給企業的經營管理、生存及安全都帶來了嚴重的影響。
一、ISO27001認證的引入
企業信息化給企業能夠帶來高效的工作,持久的競爭力,但同時也帶來了更多的風險。為了化解這種風險可能造成的惡劣結果,信息安全的重要性得到了越來越多企業管理者們的認可。
早期時候,人們把信息安全的希望寄托在加密技術上面,認為一經加密,什么安全問題都可以解決。隨著互聯網絡的發展,一段時期我們又常聽到“防火墻決定一切”的論調。在防火墻的神話破滅之后,入侵檢測,PKI,VPN和UTM等新的技術應用又被接二連三地提了出來,信息安全的技術創新從未停止。
然而,企業在采購大量安全設備,采用大量的安全技術之后,仍然不能走出信息安全問題的陰影。原因何在?
實際上,對安全技術和產品的選擇運用,這只是信息安全實踐活動中的一部分,只是實現安全需求的手段而已。信息安全更廣泛的內容,還包括制定完備的安全策略,通過風險評估來確定需求,根據需求選擇安全技術和產品,并按照既定的安全策略和流程規范來實施、維護和審查安全控制措施。Gartner曾經在一份安全報告中指出:“各類令企業損失慘重的安全違規事件歸根到底都是人所造成的,并且發展成為物理安全和人員的問題。IT安全部門試圖用技術方法來解決這些安全問題,但這是行不通的。”
歸根到底,信息安全并不是技術過程,而是管理過程。
信息安全管理提供管理程序,技術和保證措施,是商業管理者確信商業交易的可信性,確保信息技術服務的可用性,能適當地抵抗不正當操作、蓄意攻擊或者自然災害,并從這些故障中恢復;確保拒絕沒有經過授權地訪問重要的機密信息。關于信息安全管理的標準和規范也沒有安全技術那么眾多,最有代表性的,就是 ISO27001。
二、ISO27001認證在企業中的重要性
上述公司認為企業達到了CMM標準就足以應付這些問題,可事實上CMMI 無法使其擺脫這些問題所帶來的困擾。在經過一段時間探試和研究后,該公司采用了ISO27001 標準。
ISO27001標準是由英國標準協會(British Standards Institution, BSI )針對信息安全管理方面而制定的,最初源于英國標準BS7799,經過十年的不斷改版,終于在2005年被國際標準化組織發布為正式的國際標準,用于組織的信息安全管理體系的建立,保障組織的信息安全,采用相關指定方法,基于風險評估的風險管理理念,全面系統地持續改進組織的安全管理。是目前世界上唯一的信息安全管理標準,已被全球五千多家政府機構和知名企業所采用。如今是否通過ISO27001認證在某些行業中,已經成為一些客戶的要求條件之一。目前除英國外,還有荷蘭、丹麥、澳大利亞、巴西等國已同意使用該標準;日本、瑞士、盧森堡等國也表示對 ISO27001 標準感興趣;我國的臺灣、香港也在推廣該標準。許多國家的政府機構、銀行、證券、保險公司、電信運營商、網絡公司及許多跨國公司已采用了此標準對自己的信息安全進行系統的管理。這套標準注重體系的完整性,強調對法律法規的符合性,并且可與ISO9000 標準有很強的兼容性。
公司可通過ISO27001體系建設和實施,建立了完備的信息安全管理體系,為公司各項安全相關活動提供了明確的目標和操作指南。同時,通過系統的方法建立起組織保障體系,具備了信息安全風險駕馭能力,保證了公司核心業務的可持續運行。通過把ISO27001 的要求引入業務流程,使現有的業務運作更加安全規范,全面提升了公司本身和客戶信息資產的安全度,尤其是加強了對客戶知識產權和商業秘密的保護,提高了對客戶信息安全的保障水平。不僅如此,在公司通過ISO27001標準認證過程中,強化員工的信息安全意識,規范組織信息安全行為,在信息系統受到侵襲時,仍然可以確保業務持續開展并將損失降到最低程度。
三、ISO27001認證過程
信息安全對每個企業或組織來說都是需要的,從目前獲得認證的企業情況看,較多的是涉及電信、保險、銀行、數據處理中心、IC制造和軟件外包等行業。通過一個獨立的第三方的評審,公司的管理體系或產品可以成功通過某種標準的認證,為公司提供了一個向客戶表明其體系或產品符合國家或國際標準的系認證和產品認證,其過程會有所不同。首先要得到標準并通讀,可以了解到該標準的要求。從而,得知實施該標準對公司來說是不是有意義。之后是充分了解標準,通過各種媒介有相當多的已公布的信息可以用來幫助企業了解和實施一個標準。當然,采用一個特定的管理體系應該是公司的一個戰略性的決定,除了指派一個專門的團隊具體負責體系的開發與實施外,資深高層經理的參與往往是成功的關鍵。其次是人員培訓。負責實施與維護管理體系的人員需要了解標準的全部細節,有一些專門的培訓正好提供了這方面的幫助。
但是在很多時候,大部分企業限于自身經驗、意識、技能的欠缺,往往在如何合理規劃和有效實施方面陷入困境,畢竟信息安全建設是一項技術性很強而且尚處于探索階段的全新課題,另一方面,ISO27001所要求建立的信息安全管理體系,較之純粹的信息安全技術又更顯得“務虛”和“高端”,是和組織的整體經營緊密相關的。面對這樣全新而復雜的難題,傳統行業內機構通常都會自嘆摸不著頭腦,大有“門外漢的感覺”。即便是始終走在信息通信領域前沿的高技術性企業,也不見得在信息安全管理方面有足夠的積累。于是越來越多的組織選擇求助于專業的咨詢機構。獨立的咨詢機構可幫助設計一個可行、實際、成本合理的執行計劃。
今天通過對《企業為什么要實施ISO27001認證》的學習,相信你對認證有更好的認識。如果要辦理相關認證,請聯系我們吧。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
