信息安全發(fā)展至今,人們?cè)絹碓秸J(rèn)識(shí)到安全管理在整個(gè)信息安全建設(shè)過程中的重要性,而作為信息安全
管理方面最著名的國(guó)際標(biāo)準(zhǔn)——ISO27001(即之前所稱的BS7799標(biāo)準(zhǔn)),則成為可以指導(dǎo)我們現(xiàn)實(shí)工作的最
好的參照。
BS7799是英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(British
Standards Institute,BSI)于1995年2月制定的信息安全管理標(biāo)
準(zhǔn),分兩個(gè)部分,其第一部分于2000年被ISO組織采納,正式成為ISO/IEC 17799標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)2005年經(jīng)
過最新改版,發(fā)展成為ISO/IEC 17799:2005標(biāo)準(zhǔn)。BS7799標(biāo)準(zhǔn)的第二部分經(jīng)過長(zhǎng)時(shí)間討論修訂,也于2005
年成為正式的ISO標(biāo)準(zhǔn),即ISO/IEC27001:2005,之后在2013年又做了一次修訂,最新版為ISO27001:2013。
ISO27001:2013標(biāo)準(zhǔn),是建立信息安全管理體系(ISMS)的一套規(guī)范(Specification for Information
SecurityManagement Systems),其中詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的要求,指出實(shí)施機(jī)
構(gòu)應(yīng)該遵循的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn),當(dāng)然,如果要得到最終的認(rèn)證(對(duì)依據(jù)ISO27001建立的ISMS進(jìn)行認(rèn)證),還
有一系列相應(yīng)的注冊(cè)認(rèn)證過程。作為一套管理標(biāo)準(zhǔn),ISO27001指導(dǎo)相關(guān)人員怎樣去應(yīng)用,其最終目的,還在
于建立適合企業(yè)需要的信息安全管理體系。
2、ISMS的特點(diǎn)
信息安全管理體系是一個(gè)系統(tǒng)化、程序化和文件化的管理體系。該體系具有如下特點(diǎn):
n 體系的建立基于系統(tǒng)、全面、科學(xué)的安全評(píng)估,體現(xiàn)以預(yù)防控制為主的思想,強(qiáng)調(diào)遵守國(guó)家有關(guān)信息安全的法律法規(guī)及其他合同方要求;
n 強(qiáng)調(diào)全過程和動(dòng)態(tài)控制,本著控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則合理選擇安全控制方式;
n 強(qiáng)調(diào)保護(hù)組織所擁有的關(guān)鍵信息資產(chǎn),而不是全部信息資產(chǎn),確保信息的機(jī)密性、完整性和可用性,
保持組織的競(jìng)爭(zhēng)優(yōu)勢(shì)和商務(wù)運(yùn)作的持續(xù)性。
3、實(shí)施ISMS的作用
組織建立、實(shí)施與保持信息安全管理體系將會(huì)產(chǎn)生如下作用:
n 強(qiáng)化員工的信息安全意識(shí),規(guī)范組織信息安全行為;
n 對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù),維持競(jìng)爭(zhēng)優(yōu)勢(shì);
n 在信息系統(tǒng)受到侵襲時(shí),確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度;
n 使組織的生意伙伴和客戶對(duì)組織充滿信心;
n 如果通過認(rèn)證表明體系符合標(biāo)準(zhǔn),證明組織有能力保障重要信息,提高組織的知名度和信任度;
n 促使管理層貫徹信息安全保障體系;
n 組織可以參照信息安全管理模型,按照先進(jìn)的信息安全管理標(biāo)準(zhǔn)建立組織的信息安全管理體系并實(shí)施保持,達(dá)到動(dòng)態(tài)的、系統(tǒng)的、全員參與、制度化的、以預(yù)防為主的信息安全管理方式,用最低的
成本,達(dá)到可接受的信息安全水平,從根本上保證業(yè)務(wù)的連續(xù)性。
課程大納:
一、學(xué)習(xí)標(biāo)準(zhǔn)(大約16課時(shí))
二、建立體系文件,識(shí)別風(fēng)險(xiǎn)控制點(diǎn)
三、組織內(nèi)審、管理評(píng)審
四、申請(qǐng)認(rèn)證