1.2.ISO27001 信息安全管理體系方面的主要任務(wù)
企業(yè)信息安全現狀的調研評估:全面、準確地了解公司的信息安全現狀;
信息資產(chǎn)的識別與安全風(fēng)險的評估:量化分析公司的信息安全風(fēng)險;
建立安全策略及管理體系:結合國際國內的最佳實(shí)踐,制定公司信息安全體系建設規劃并編寫(xiě)有關(guān)技術(shù)建議方案和制度策略,為安全體系建設提供保障和指導;
促進(jìn)安全策略落實(shí)與實(shí)施:協(xié)助通過(guò)引入先進(jìn)的漏洞掃描系統提高現有 IT 系統的安全性;
信息安全內部審計師/審核員的培訓及審計實(shí)施;
識別影響業(yè)務(wù)連續性的風(fēng)險,制定 BCP(業(yè)務(wù)連續性計劃)/DRP(災難恢復計劃);
知識轉移:向組織培訓并提供一系列國際先進(jìn)的標準及優(yōu)秀的參考模型、輔助工具以及技術(shù)落實(shí)手段,幫助企業(yè)內部建立真正懂得信息安全的專(zhuān)家級人員團隊;
項目推進(jìn):建立順暢的溝通渠道,從而保證項目按時(shí)按質(zhì)完成 。
1.3.建立信息安全管理體系的意義
(1) 建立貫穿整個(gè)供應鏈的信息安全系統,最大限度減少企業(yè)危機;
(2) 促使管理層堅持貫徹信息安全保障體系;
(3) 對組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統的保護,維持競爭優(yōu)勢;
(4) 在信息系統受到侵襲時(shí),確保業(yè)務(wù)持續開(kāi)展并將損失降到最低程度;
(5) 時(shí)間與資源的利用最大化;
(6) 使組織的生意伙伴和客戶(hù)對組織充滿(mǎn)信心;
(7) 建立一套完整的信息安全管理體系,在人員參與的過(guò)程中建立起所有使用者對信息安全的認同感及警覺(jué)意識的提高,強化員工的信息安全意識,規范組織信息安全行為,降低信息安全事件對信息的沖擊及發(fā)生的機率,大大提升內部信息安全等級;
(8) 公眾形象及社會(huì )關(guān)系:如果通過(guò) BS7799/ISO27001 信息安全管理體系認證,表明體系符合標準,證明組織有能力保障重要信息,它所產(chǎn)生的信息以及對它給予的關(guān)注都將有助于公司與相關(guān)方之間建立良好的聯(lián)系并得到他們的認同,提高組織的知名度與信任度;
(9) 市場(chǎng)準入:BS7799/ISO27001 可能成為貿易的一個(gè)先決條件。公司可以把國際標準作為實(shí)現預期商業(yè)目標的途徑之一。顧客們可能會(huì )要求他們的供應商達到特定的信息安全管理目標并擁有 BS7799/ISO27001 認證,以確保信息安全目標的實(shí)現;
(10) 財政市場(chǎng):擁有一個(gè)國際認可的、恰當的信息安全管理體系將提高投資者對資本的信心以及對資本投入,同時(shí)將為得到的優(yōu)惠的保險率提供了潛在的渠道。
1.4.ISO27001信息安全管理體系換版要求
新版與舊版相比主要有三大差異:一、管理體系更容易整合;二、融入企業(yè)面臨的新挑戰;三、更多指引延伸參考。說(shuō)明如下:
(1) 易整合:
以前各管理系統對管理制度面的要求有不太一致的描述方式,且章節不一。例如管理制度的PDCA(Plan,Do,Check,Act)、政策與高級支持等管理制度面要求不同。在新版當中采取Annex SL做結構性要求,讓不同管理系統易于接軌、整合。Annex SL的高級結構是ISO組織未來(lái)所有管理制度制定時(shí)的重要依據,目前已經(jīng)有ISO 22301(前BS 25999營(yíng)運持續管理系統)和這次的ISO 27001新版都已采此結構進(jìn)行調整。預計已頒布的標準如ISO9000/ ISO20000未來(lái)的改版也將以相同的思路進(jìn)行調整。
(2) 新要求:
ISO 27001:2005原本有11個(gè)領(lǐng)域(domain)、133項控制措施,新版DIS目前調整為14個(gè)領(lǐng)域(A.5-A.18)、113個(gè)控制措施(未來(lái)仍可能有改動(dòng))。新增的領(lǐng)域是將原分散在各領(lǐng)域中的部分控制目標級別提升,組成新領(lǐng)域,如加密與供應鏈管理因其重要性而被獨立出來(lái)成為新領(lǐng)域;或是將原有領(lǐng)域分拆,如將通訊與作業(yè)管理分開(kāi)成兩個(gè)獨立的領(lǐng)域,以反映目前信息安全的發(fā)展趨勢。而控制措施的減少則是通過(guò)合并重復的項目來(lái)進(jìn)行,像變更管理在不同的領(lǐng)域中有重復就予以合并。也有新增的控制項目比如對智能型裝置的管理、強化ICT供應鏈的委外管理、以及系統開(kāi)發(fā)項目管理的信息安全要求等。
(3) 更多參考:
此次ISO也新增許多指引供企業(yè)參考,組織可以通過(guò)不同的面以及風(fēng)險進(jìn)行深度的強化,通過(guò)ISO 27001驗證只是基本要求。目前ISO 27000系列指引編號已超過(guò)44號(001-044),例如金融服務(wù)、數字鑒識、供應鏈管理(4本)、軟件開(kāi)發(fā)測試等,主管機關(guān)可參考這些指引做升級的要求。? 對于目前正在準備ISO 27001的企業(yè),建議無(wú)須等待新版,按照原訂進(jìn)度先取得27001:2005驗證,在緩沖期結束前轉到新版即可,新版會(huì )向下兼容接軌。