信息安全管理体系(Information Security Management System,简称ISMS)的概念最初来源于英国标准学会制定的BS7799标准, 并伴随着其作为国际标准的发布和普及而被广泛地接受。ISO/IEC JTC1 SC27/WG1(国际标准化组织/国际电工委员会信息技术委员会 安全技术分委员会/第一工作组)是制定和修订ISMS标准的国际组织。ISO/IEC27001:2005(《信息安全管理体系 要求》)是ISMS认证所采用的标准。目前我国已经将其等同转化为中国国家标准GB/T 22080-2008/ISO/IEC 27001:2005。
随着信息化的发展与互联网的普及,各种信息安全犯罪问题也随之出现,信息安全犯罪手段呈现多样化,从以往单一的技术犯罪衍生出欺诈,盗窃,过失等等造成的信息安全犯罪案例。因此如何从技术手段与管理手段进行全方位来保障组织的信息安全已成为国家,企业,组织面临信息安全的一个新的课题。ISO27001:2005信息安全管理体系要求就是为帮助各种组织进行信息安全管理而制订的信息安全管理体系标准,通过正确的实施信息安全管理体系来减少企业面临的信息安全风险,保护企业信息安全的机密性,完整性,可用性,最终使企业的业务持续运营。
本标准包括11个控制领域,39个控制目标和133个控制措施。在实施的过程中,组织可以根据企业的实际情况,法律法规合约等因素选择适用的控制措施,也可增加额外的控制措施。
1)安全策略(体现企业对信息安全管理体系的支持与承诺)
2)信息安全组织(建立信息安全管理架构,用于公司内部信息安全的管理和控制)
3)资产管理(确保对组织各项资产的安全进行有效保护)
4)人力资源安全(制订所有人员的安全职责与角色)
5)物理和环境安全(对组织的运营场所做出安全要求)
6)通信和操作管理(完善公司内外的沟通与联系,以利于信息安全管理体系的顺利进行)
7)访问控制(管理信息资产的访问行为)
8)信息系统获取、开发和维护(确保公司的IT项目和相关的支持活动已实施安全控制)
9)信息安全事故管理(通报信息安全事故并采取纠正措施,确保实施有效的信息安全事故管理办法)
10)业务连续性管理(制订企业持续运营计划,保护企业核心业务免受重大灾难的中断与影响)
11)符合性(符合法律法规合约的要求)
建立信息安全管理体系,能切实提高组织的信息安全管理水平,提高全员信息安全意识, 降低信息安全风险,保证信息的保密性、完整性和可用性。增强投资者及其他利益相关方的投资信心;向政府及行业主管部门证明组织对相关法律法规的符合性;向客户表明组织对信息安全的承诺;维护企业的品牌名誉和客户信任;
如何利用导入ISO27001信息安全管理体系的机会,从根本上改善了公司的运营管理水平,加强了公司的信息安全管理,防止在业务流程中出现泄密漏洞,保障了公司的知识产权的安全,使企业得以持续有效的运营。只有从真正意义上成功导入ISO27001信息安全管理体系,才达到了此标准的初衷。为了摆脱证书摆桌上,体系摆一边的尴尬局面,我们必需把握以成功导入的关键因素:
1, 来自公司高层管理者的明确支持与承诺。
2, 反映业务目标的信息安全方针、目标以及活动。
3, 正确理解信息安全标准要求、风险评估和风险管理。
4, 向所有管理者、员工和其它相关的组织传达有效的信息安全知识以及使他们具备安全意识。
5, 向所有管理者、员工和其它相关的分发关于信息安全方针和标准的指导意见。
6, 提供资金支持信息安全管理活动。
7, 提供适当的意识、培训、和教育。