ISO 27001信息安全管理体系
一、什么是ISO 27001信息安全管理体系
ISO27001信息安全管理标准要求建立一个完整的信息安全管理体系。该管理体系在组织中建立一个完整的切入、实施、维护和文件化的管理框架。该管理标准提供给组织信息安全管理的最佳实践指导。
ISO27001是组织一个关键的管理工具,它可以用来识别管理和减小对组织信息安全的威胁。企业的信息如产品定价、客户信息、研究成果、市场开发计划或发展战略等是企业赖以生存的宝贵财富。当一个组织与另一个组织合作的时候,对信息的保护尤为重要。当您的组织要把保密的信息与另一组织分享的时候,您应当肯定对方是否能够保证该信息的安全,同样的您也应该保证对方的敏感信息的安全。
ISO27001是从BS7799转换来的,它包含了133个安全控制措施来帮助组织识别在运做过程中对信息安全有影响的元素。这133多个控制措施被分成11个方面,成为组织实施信息安全管理的实用指南,这十一个方面分别是:
1. 安全方针(Security Policy)
2. 信息安全组织(Security Organization)
3. 资产管理(Asset Management )
4. 人员安全(Personnel Security)
5. 物理与环境安全(Physical and Environmental Security)
6. 通信与运营管理(Communications and Operations Management)
7. 访问控制(Access Control)
8. 系统开发与维护(Systems Development and Maintenance)
9. 信息安全事故管理(Infomation Incident Management)
10. 业务持续性管理(Business Continuity Management)
11. 法律符合性(Compliance)
二、如何建立ISO 27001信息安全管理体系
包括以下几个步骤:
1.定义信息安全方针 ==> 信息安全方针文档
2.定义ISMS范围 ==> ISMS范围文档
3.资产识别 ==> 资产清单
4.风险评估 ==> 风险评估文档
5.选择控制目标和控制措施 ==> 控制规划
6.体系运行 ==> 运行计划和运行记录
7.体系审核 ==> 审核计划与审核记录
8.管理评审 ==> 评审计划与评审记录
9.体系认证 ==> 认证申请及认证证书
三、建立ISO 27001信息安全管理体系的益处
保证信息安全不是仅有一个防火墙,或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。而引入信息安全管理体系就可以协调各个方面信息管理,从而使管理更为有效。
信息安全管理体系标准(ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准,类似于质量管理体系认证的 ISO9000标准。当您的组织通过了ISO27001的认证,就相当于通过ISO9000的质量认证一般,表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。
通过进行ISO27001信息安全管理体系认证,可以增进组织间电子电子商务往来的信用度,能够建立起网站和贸易伙伴之间的互相信任,随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益,并为广大用户和服务提供商提供一个基础的设备管理。同时,把组织的干扰因素降到最小,创造更大收益。
组织按照ISO27001标准建立信息安全管理体系,会有一定的投入,但是若能通过认证机构的审核,获得认证,将会获得有价值的回报。引入ISO27001标准会给组织带来以下好处:
1. 企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位。
2.定期的监督审核将确保组织的信息系统不断地被监督和改善,并以此作为增强信息安全性的依据。
3.信任、信用及信心:使客户及利益相关方感受到组织对信息安全的承诺。
4. 60%的组织在过去的两年内信息及信息系统遭到过破坏,建立信息安全管理体系能降低这种风险,通过第三方的认证能增强投资者及其他利益相关方的投资信心。
5. 通过认证能够向政府及行业主管部门证明组织对相关法律法规的符合性。
6. 通过认证能保证和证明组织所有的部门对信息安全的承诺。
7. 通过认证可改善全体的业绩、消除不信任感和拓展业务。
8. 获得国际认可的机构的认证证书,可得到国际上的承认。
- 上一条:ISO14000环境管理体系
- 下一条:ISO体系认证