自20世纪80年代以来,由于互联网技术的飞速发展,信息安全跨越了时间和空间。向全面而动态的整体体系建设方向发展。「信息」对建立竞争优势起着举足轻重的作用。但它同时也是柄双刃剑,当信息被意外或刻意的传给恶意的接收者时,同样的信息也可能导致一所机构倒闭。
信息安全管理系统(ISMS)是高层管理人员用以监察及控制信息安全、减少商业风险和确保保安系统持续符合企业、客户及法律要求的一个体系。ISO/IEC 27001:2005 能协助机构保护专利信息,同时也为制定统一的机构保安标准搭建了一个平台,更有助于提升安全管理的实务表现和增强机构间商业往来的信心与信任。
企业信息安全管理面对的常见问题
1.ISO/IEC 27001:2005不是技术体系是管理体系
许多企业都以为信息安全管理体系是技术体系,需要强大的技术支持才能令自己的信息“万无一失”。其实不然,信息安全重在管理,ISO 27001体系围绕信息资产的三大要素为保密性、完整性与可用性,运用风险控制管理手段,通过实施可持续性的改进循环体制,无限放大“管理”的效用,使得企业的信息安全得以保障。
其基本框架如下图:
它的11个控制因素共可分为三个方面:
管理方面:资产管理;符合性;人力资源安全;业务连续性管理;沟通和营运管理
技术方面:访问控制;信息安全事件管理;信息系统获取、开发和维护
物理方面:物理和环境安全
2.在风险处置过程中所输出的众多信息安全管控措施难以统一规划,并且缺少各项控制措施与信息安全风险的一一对应
在风险评估的过程中将会全面、系统地对企业的各项信息资产进行详细的风险分析,系统的分析出企业所面临的各项风险,并对各项风险采取合理、有效的管控措施。在风险评估的过程中,企业所面临的信息安全风险的类别,以及每一类信息风险中实际风险的个数无疑是非常大的,并且不同类别的信息安全风险所采取管控措施的优先级也有很大的差别,如何对数量庞大的风险及管控措施进行合理的规划,对于企业来说无疑是一个很大的难题,尤其对于组织规模比较庞大的企业更是如此,因此如何对风险评估后的管控措施进行统一、合理的规划至关重要。
3.信息安全管理体系中的各级文件、模板及记录很难有条理地进行管理
信息安全管理体系拥有为数众多的文档化的方针、策略、规范、制度,并在体系运行的过程中将产生大量的记录,如何对这些文件进行分门别类的管理,并且很好的对其中的逻辑性与一致性进行控制,这对于体系维护人员来讲是一个不大不小的难题。
4.体系实施及运作过程中关键的活动(如体系测量、组织内审、管理评审等)的策略、实施、记录很难系统化、程序化
信息安全管理体系在进行PDCA循环运行中,控制措施测量、内审及管理评审是体系进行持续改进的发动机,但是,由于这些活动关系到企业的各个部门,组织、策划、协调起来非常的困难,因此,如何将这些活动的组织策划自动化、实施程序系统化,并且实施过程记录完整化是体系推行人员一个非常大的挑战。
PDCA模型应用与信息安全管理体系过程
5.其他面对的问题
除了以上问题外,缺少跨部门的信息安全协调机制;软件知识产权保护欠缺;硬件设施不健全;缺少一旦发生意外时的保证生产经营连续性的措施和计划;等等,也是信息安全管理方面亟待解决的方面。
6. 信息安全确保公司资产有效、安全运营
信息安全-保护信息保密性、完整性和可用性;另外,其他特性如真实性、可确认性、不可否认性和可靠性也可以包括在内
关键三要素:
保密性:信息被获取或泄露给未经授权的个人、实体或流程
完整性:保护资产准确和完整
可用性:资产仅对授权人员在需要的时候是可访问的或可用的
中标联将国际先进的信息安全管理体系标准引入客户企业,辅助客户建立信息安全管理体系。借助扎实的ISO27001理论研究基础、丰富的咨询经验、可靠的服务管理体系、专业的咨询顾问和正规的服务资质,依据 BS7799/ISO27001 等国际标准,提供 ISMS 体系咨询和实施服务。从管理、技术、人员、过程的角度来计划、建立、实施、核查信息安全管理体系。保障组织的信息安全 “ 滴水不漏 ”,确保组织业务的持续运营、持续改善。维护企业的竞争优势增加客户、合作伙伴和相关人士对机构的信心、提升营运收入,并为机构带来更多商机。
1.按照标准信息安全管理办法,对企业涉及风险评估人员进行系统的培训
通常企业都会通过聘请外部顾问以项目的形式,来进行自身信息安全管理体系的建设,能够最大程度发挥咨询顾问的经验,使企业不会在体系的建设过程中迷失方向,但是,在项目结束咨询顾问撤场后,企业内部体系推行人员却显得无所适从。
为了有效避免上述情况,中标联为企业人员提供培训服务,有效提高全体员工,特别是各级领导的信息安全意识和能力,包括:
1) 信息安全管理意识培训;
2) 风险分析评估方法培训;
3) 信息安全管理体系文件编写培训;
4) 信息安全管理体系文件实施培训;
注:根据客户的实际状况,对上述培训进行调整。
2. 建立科学合理的信息安全风险评估过程
利用风险评估软件完成全部风险评估、选择适宜的控制目标与控制方式、确定控制方式、一键自动生成风险评估所需的全部资料和清单。
风险管理是信息安全管理体系建立的基础。完整的风险管理包括资产识别、资产估值、风险分析、风险评价、风险处理和剩余风险评估等过程,这些过程需要处理大量的数据,而资产、资产属性、威胁、薄弱点、事件的影响、发生的可能性、控制措施等风险评估要素随着评估过程、沟通过程、监视和评审过程、重复的评估过程而不断变化,需要不断的重复的进行大量的数据处理,所以,单纯用手工的的方式很难准确、快速的完成风险管理过程,也不利于管理者对评估进度和评估质量的督促和监控,必须借助于风险评估和风险管理工具软件,以大幅度降低各部门参与风险评估人员的工作量,并随时掌握各部门的风险评估情况,提高工作效率、保证风险评估结果的及时、真实、可靠。
而且,采用风险评估软件进行风险评估,评估的数据保管在服务器上,能够避免评估资料被咨询公司人员或内部人员泄露。风险评估是一把双刃剑,组织可以通过风险评估,发现风险,进而控制风险。但是,风险评估结果本身对组织也是一项威胁,如果保管不当,被泄漏出去,则攻击者将全面了解组织的风险所在,可以发起有的放矢的攻击。因此,必须妥善保护风险评估的结果。传统的风险评估一般利用Excel表格来完成,非常容易被利用E-mail,U盘等媒体传递,造成风险。
3.嵌套体系文件信息平台,通过分级授权、信息加密技术,有效控制企业的信息安全
企业各类管理文件的信息安全管理是企业所面临的一项极为重要的工作。“体系文件信息平台”可以按照公司文件的重要度和保密性可进行分级授权,可以对不同的登录账号授权,也可针对单独的某些文件授权。系统限制非法下载打印;如内部需要学习下载打印的文件,系统可自动增加带由公司标志的水印。
另外系统可定期自动备份;可随时在线监控并记录所有在线进行文件操作的所有账户,对异常情况随时处理。上述功能可有利的确保公司各类管理文件的信息安全。
4.中标联严格按照企业定制的咨询流程对企业进行信息安全管理体系的认证服务
1)将国际先进的信息安全管理体系标准引入企业,辅助客户建立信息安全体系;
2)建立科学合理的信息安全风险评估过程,利用风险评估软件完成全部风险评估、自动生成风险评估所需的全部资料和清单;
3)通过信息安全管理体系建立和运行,消除信息安全隐患,保护关键的信息资产;
4)提高全体员工,特别是各级领导的信息安全意识和能力;
5)提高客户企业的信息安全管理水平;
6)按计划获得第三方认证机构颁发的ISO27001证书。
注:根据客户的具体要求,对上述目标进行调整;
1、某全球电子商务企业ISO27001&ISO9001建设与认证项目
项目概况:
该公司为全球商务的技术领军者,处理着各种数据和支付交易,为540万个商户网点、2000多个发卡机构及其6亿多持卡人提供从端到端的支付服务。该公司符合中国监管机构、卡组织、PCI认证,自2002年以来,该公司在大中华区先后拥有了中国工商银行,中国农业银行,中国光大银行,Cetelem,平安银行,交通银行(香港),中银国际,台湾华南银行等客户, 提供多种服务和运营模式如外包处理、软件许可、综合管理服务、系统建制并转交。
该公司的业务涉及到众多信用卡用户以及客户的信息安全,公司领导层也非常重视公司的信息安全管理工作以及服务质量,因此该公司决定建立全面的信息安全管理体系和质量管理体系,提高公司的服务质量和信息安全管理水平,从而更好地保护公司及客户的信息安全。
中标联解决方案: