ISO/IEC 27001信息安全管理体系

管理体系与标准化咨询 > 通用管理体系标准 > ISO/IEC 27001信息安全管理体系

ISO/IEC 27001信息安全管理体系

自20世纪80年代以来,由于互联网技术的飞速发展,信息安全跨越了时间和空间。向全面而动态的整体体系建设方向发展。「信息」对建立竞争优势起着举足轻重的作用。但它同时也是柄双刃剑,当信息被意外或刻意的传给恶意的接收者时,同样的信息也可能导致一所机构倒闭。

信息安全管理系统(ISMS)是高层管理人员用以监察及控制信息安全、减少商业风险和确保保安系统持续符合企业、客户及法律要求的一个体系。ISO/IEC 27001:2005 能协助机构保护专利信息,同时也为制定统一的机构保安标准搭建了一个平台,更有助于提升安全管理的实务表现和增强机构间商业往来的信心与信任。

企业信息安全管理面对的常见问题

1.ISO/IEC 27001:2005不是技术体系是管理体系

许多企业都以为信息安全管理体系是技术体系,需要强大的技术支持才能令自己的信息“万无一失”。其实不然,信息安全重在管理,ISO 27001体系围绕信息资产的三大要素为保密性、完整性与可用性,运用风险控制管理手段,通过实施可持续性的改进循环体制,无限放大“管理”的效用,使得企业的信息安全得以保障。

其基本框架如下图:

 

它的11个控制因素共可分为三个方面:

管理方面:资产管理;符合性;人力资源安全;业务连续性管理;沟通和营运管理

技术方面:访问控制;信息安全事件管理;信息系统获取、开发和维护

物理方面:物理和环境安全

 

2.在风险处置过程中所输出的众多信息安全管控措施难以统一规划,并且缺少各项控制措施与信息安全风险的一一对应

在风险评估的过程中将会全面、系统地对企业的各项信息资产进行详细的风险分析,系统的分析出企业所面临的各项风险,并对各项风险采取合理、有效的管控措施。在风险评估的过程中,企业所面临的信息安全风险的类别,以及每一类信息风险中实际风险的个数无疑是非常大的,并且不同类别的信息安全风险所采取管控措施的优先级也有很大的差别,如何对数量庞大的风险及管控措施进行合理的规划,对于企业来说无疑是一个很大的难题,尤其对于组织规模比较庞大的企业更是如此,因此如何对风险评估后的管控措施进行统一、合理的规划至关重要。 

 

3.信息安全管理体系中的各级文件、模板及记录很难有条理地进行管理

信息安全管理体系拥有为数众多的文档化的方针、策略、规范、制度,并在体系运行的过程中将产生大量的记录,如何对这些文件进行分门别类的管理,并且很好的对其中的逻辑性与一致性进行控制,这对于体系维护人员来讲是一个不大不小的难题。 

 

4.体系实施及运作过程中关键的活动(如体系测量、组织内审、管理评审等)的策略、实施、记录很难系统化、程序化

信息安全管理体系在进行PDCA循环运行中,控制措施测量、内审及管理评审是体系进行持续改进的发动机,但是,由于这些活动关系到企业的各个部门,组织、策划、协调起来非常的困难,因此,如何将这些活动的组织策划自动化、实施程序系统化,并且实施过程记录完整化是体系推行人员一个非常大的挑战。

 

PDCA模型应用与信息安全管理体系过程


5.其他面对的问题

除了以上问题外,缺少跨部门的信息安全协调机制;软件知识产权保护欠缺;硬件设施不健全;缺少一旦发生意外时的保证生产经营连续性的措施和计划;等等,也是信息安全管理方面亟待解决的方面。

 

6. 信息安全确保公司资产有效、安全运营

信息安全-保护信息保密性、完整性和可用性;另外,其他特性如真实性、可确认性、不可否认性和可靠性也可以包括在内

关键三要素:

保密性:信息被获取或泄露给未经授权的个人、实体或流程

完整性:保护资产准确和完整

可用性:资产仅对授权人员在需要的时候是可访问的或可用的