淺析企業(yè)ISO27000信息安全管理體系建設

時至今日,“信息”作為一種商業(yè)資產,其所擁有的價值對于一個企業(yè)而言毋庸置疑,重要性也是與日俱增.信息安全,按照國際標準化組織提出的ISO/IEC27000中的概念,需要保證信息的“保密性”、“完整性”和“可用性”.通俗地講,就是要保護信息免受來自各方面的威脅,從而確保一個企業(yè)或機構可持續(xù)發(fā)展.

企業(yè)面臨的問題

企業(yè)對于信息系統依賴性不斷增長,以及在信息系統上運作業(yè)務的風險,使得信息安全越來越得到重視.

然而事實上,目前企業(yè)所面對的信息安全狀況愈加復雜.病毒木馬、非法入侵、數據泄密、服務癱瘓、漏洞攻擊等安全事件時有發(fā)生.從便攜設備到可移動存儲,再到智能手機、PDA,以及無線網絡等,安全問題出現的途徑也是千奇百怪.每一項新技術,每一類新產品的推廣伴隨著新的問題.企業(yè)在面臨著日趨復雜的威脅的同時,遭受的攻擊次數也日益增多.

正因為如此,信息安全管理體系標準(ISO/IEC27000)的出現成為歷史必要,該標準經過十多年的發(fā)展,已經形成了一個完整規(guī)范的體系.對企業(yè)而言,建立信息安全管理體系,是一個非常系統的過程,從資產評估、風險分析、引入控制到后期的改進,呈現出一個非常邏輯的架構.

通過對大型企業(yè)CIO的調查顯示,他們普遍面對的問題是,“我們很清楚的知道內部的安全風險問題,可是我們不知道怎么去識別并規(guī)避風險.因此我們迫切希望引入信息安全管理體系,甚至于去獲得認證.”

可以說,ISO27000信息安全管理體系的建立和健全,目的就是降低信息風險對經營帶來的危害,并將其投資和商業(yè)利益最大化.

ISO27000信息安全管理體系標準

2005年改版后的ISO/IEC27001共有133個控制點,39個控制措施,11個控制域.其中11個控制域包括:

1)安全策略

2)信息安全的組織

3)資產管理

4)人力資源安全

5)物理和環(huán)境安全

6)通信和操作管理

7)訪問控制

8)系統采集、開發(fā)和維護

9)信息安全事故管理

10)業(yè)務連續(xù)性管理

11)符合性

可見,信息安全不僅僅是個技術問題,而是管理、章程、制度和技術手段以及各種系統的結合.實現信息安全不僅需要采用技術措施,還需要借助于技術以外的其它手段,如規(guī)范安全標準和進行信息安全管理.

因此,企業(yè)在選擇合作伙伴的時候,就該找那種理解需求、真正能幫助解決問題的,只有那種有著多年的咨詢和項目經驗、豐富的服務和產品的公司,才夠格成為可信任的伙伴.

普通的ISO27000顧問公司,常常就是提供咨詢、解決方案,折騰一通后,再推薦一些產品.而產品的實際效能如何,是否能有效解決問題,顧問公司并不清楚.

而廠商,總是會推銷一大堆產品給企業(yè),而這些產品是否真的符合企業(yè)實際要求,成為各方爭論的焦點.這些產品之間,或者會有功能重疊,又或者會有沖突和兼容性問題.

解決方案

如今,一些廠商整合了豐富的知識和經驗,提供客戶咨詢、運營、服務和產品等,幫助客戶成功,如國內的冰峰網絡.國內的安全廠商通過更加務實的態(tài)度,以“保障關鍵應用、提升IT價值”為理念,切實地理解客戶的需求,有效地幫助客戶解決問題.

參照ISO/IEC27001,總結出了完整的信息安全模型.依據模型,企業(yè)可以得到一個細致的流程,再也不用摸黑走路.

通過咨詢,為客戶提供高端的ISO27000信息安全咨詢與評估服務,識別出信息資產以及存在的風險,找出所存在的問題和深層次的需求,以便明確后續(xù)應采取什么行動去解決問題.

采用產品,記者了解到冰峰網絡能提供全系列的產品,能保護企業(yè)的任意區(qū)域,如移動用戶、遠程分支、內部網絡、很難管理的桌面和服務器、個人的行為狀況等.具有完善的功能模塊,有防火墻、VPN、IPS/IDS、內容過濾、網絡行為管理等.利用這些功能模塊,企業(yè)能全局有效地管理安全,并跨系統、平臺和區(qū)域實施一致的策略.

委托運營,針對一些自我管理和技術能力不強的企業(yè),委托運營是其最佳選擇.企業(yè)不再被具體的細節(jié)拖入泥沼中,只需提出問題和希望的結果,所有的中間過程都由委托承擔者完成.

后續(xù)服務,安全管理的實現肯定是個長期的過程,那種完成項目就開溜的做法,對企業(yè)來說是種災難.只有通過后續(xù)的服務,不斷地改進,不斷地發(fā)現新問題,才能推動目標不斷地前進.

總之,我們欣喜的看到,國內的安全廠商通過積極努力,提供的整體解決方案,可增強企業(yè)主動管理其信息安全的能力,降低企業(yè)信息所面臨的風險.

結語

建立ISO27000信息安全管理體系并獲得認證,能提高企業(yè)自身的安全管理水平,將企業(yè)的安全風險控制在可接受的范圍內,減少因安全時間帶來的破壞和損失.更重要的,是可以保證企業(yè)業(yè)務的持續(xù)性.

另一方面,合作在如今的商業(yè)社會是非常普遍.如果企業(yè)能向客戶及利益相關方展示對信息安全的承諾,不但能增強合作伙伴、投資方的信心,也可以向政府及行業(yè)主管部門證明對相關法律法規(guī)的符合,并能得到國際上的認可.

選擇一款滿足企業(yè)實際需求的產品,才是選擇真正的ISO27000信息安全管理體系.

中企檢測認證網提供iso體系認證機構查詢，檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息，中企檢測認證網為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內容整合網站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質量認證中心

免責聲明：本文部分內容根據網絡信息整理，文章版權歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內容、版權和其它問題，請跟我們聯系刪除并致歉！

本文來源： http://www.rumin8raps.com/zs/202109/ccaa_27696.html