信息安全管理要求ISO/IEC27001的前身為英國(guó)的BS7799標(biāo)準(zhǔn)���,該標(biāo)準(zhǔn)由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)于1995年2月提出,并于1995年5月修訂而成的。1999年BSI重新修改了該標(biāo)準(zhǔn)��。BS7799分為兩個(gè)部分: BS7799-1����,信息安全管理實(shí)施規(guī)則; BS7799-2,信息安全管理體系規(guī)范���。 第一部分對(duì)信息安全管理給出建議,供負(fù)責(zé)在其組織啟動(dòng)����、實(shí)施或維護(hù)安全的人員使用;第二部分說明了建立、實(shí)施和文件化信息 管理體系(ISMS)的要求,規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求。
ISO27001和ISO20000認(rèn)證已經(jīng)成為企業(yè)核心競(jìng)爭(zhēng)力的重要標(biāo)志����。
ISO27001是國(guó)際上針對(duì)信息安全的權(quán)威認(rèn)證標(biāo)準(zhǔn)��,由BSI倡導(dǎo)制定。BSI是國(guó)際標(biāo)準(zhǔn)化組織(ISO)���、國(guó)際電工委員會(huì)(IEC)、歐洲標(biāo)準(zhǔn)化委員會(huì)(CEN)����、歐洲電工標(biāo)準(zhǔn)化委員會(huì)(CENELEC)�、歐洲電信標(biāo)準(zhǔn)學(xué)會(huì)(ETSI)創(chuàng)始成員之一���,廣為人知的ISO9000系列管理標(biāo)準(zhǔn)同樣是由BSI所倡導(dǎo)制定�����。
目前�,在信息安全管理方面�����,英國(guó)標(biāo)準(zhǔn)ISO27001:2013(前身為ISO27001:2005)已經(jīng)成為世界上最權(quán)威���、應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)���,它定義了11個(gè)信息安全控制域和133個(gè)控制項(xiàng)���,旨在幫助企業(yè)在安全策略�����、安全制度����、安全操作和管理流程等方面,形成統(tǒng)一的信息安全管理體系��。115科技認(rèn)證范疇覆蓋如下:云存儲(chǔ)�����、云社區(qū)和機(jī)構(gòu)組織信息化云平臺(tái)的設(shè)計(jì)��、研發(fā)和服務(wù)的信息安全管理。
隨著社會(huì)信息化的不斷發(fā)展����,信息本身蘊(yùn)含了巨大的價(jià)值��,成為財(cái)富的主要來源之一。因此��,信息安全的保障建設(shè)工作得到了越來越多組織和企業(yè)的關(guān)注和重視�。為了有效管理組織內(nèi)部與信息安全相關(guān)的風(fēng)險(xiǎn),基于ISO27001建立的信息安全管理體系 (ISMS)被認(rèn)為是最全面有效的方式����。
通常企業(yè)在建設(shè)信息安全管理體系(ISMS)時(shí)��,可以根據(jù)自身需要,引入ISMS標(biāo)準(zhǔn)����,來指導(dǎo)其ISMS建設(shè)���,如國(guó)際標(biāo)準(zhǔn)ISO27001����。企業(yè)可以自行實(shí)施����,也可以請(qǐng)外部咨詢顧問,來協(xié)助企業(yè)進(jìn)行整個(gè)體系建設(shè)的過程�����。從資產(chǎn)收集和分析��、風(fēng)險(xiǎn)評(píng)估�����,到建立信息安全管理的框架,并從信息系統(tǒng)的所有層面進(jìn)行整體安全建設(shè)��,并將其文檔化����,保持文件化的信息安全管理體系。進(jìn)行審核與批準(zhǔn)并發(fā)布實(shí)施����,信息安全管理體系進(jìn)入運(yùn)行階段�。組織通過加強(qiáng)運(yùn)作力度���,充分發(fā)揮體系本身的各項(xiàng)功能�����,并通過內(nèi)審���,自我安全檢查等手段不斷完善體系和執(zhí)行,并最終通過外審獲得資質(zhì)認(rèn)證�。
在以往國(guó)內(nèi)實(shí)施ISMS建設(shè)的組織當(dāng)中���,大多是按照這樣的過程來進(jìn)行的����。ISMS建設(shè)的實(shí)施人員�����,除了要具備必要的知識(shí)技能和管理意識(shí)外����,還要面臨大量具體����、繁瑣而枯燥的工作,例如對(duì)信息資產(chǎn)的收集和維護(hù)過程,以及對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)的大量文案工作;當(dāng)ISMS體系建立起來以后��,對(duì)體系的審核與維護(hù)過程非常復(fù)雜��,面臨整改措施的跟蹤�、流程的運(yùn)轉(zhuǎn)��、信息的管理����、知識(shí)庫的沉淀等問題���。
在管理實(shí)踐過程中�����,將管理工作信息化是一種提高管理效率、落實(shí)管理效果的常見手段���。那么�����,將信息安全管理體系(ISMS)建設(shè)和運(yùn)轉(zhuǎn)過程固化到信息系統(tǒng)中是否可行呢?從體系的實(shí)施過程來說,國(guó)內(nèi)已經(jīng)有不少企業(yè)和組織都建立了信息安全管理體系,可以將風(fēng)險(xiǎn)管理與控制體系建設(shè)方法及過程在軟件系統(tǒng)中固化下來��,并建立與各種信息安全風(fēng)險(xiǎn)控制相關(guān)�����,與法規(guī)制度����、標(biāo)準(zhǔn)指南相對(duì)應(yīng)的信息安全風(fēng)險(xiǎn)控制的知識(shí)庫���。
Goo-ISMS首先為不同的安全角色定制了不同的視圖��,ISMS管理小組成員�����,各部門安全管理員、部門和公司領(lǐng)導(dǎo)登陸系統(tǒng)后分別能看到自己在信息安全工作中用到的信息。
化繁為簡(jiǎn)的風(fēng)險(xiǎn)管理工作
系統(tǒng)固化了多種信息安全風(fēng)險(xiǎn)評(píng)估方法論。各部門安全管理員從軟件自帶的風(fēng)險(xiǎn)知識(shí)庫中選擇各類資產(chǎn)的推薦風(fēng)險(xiǎn)���,快速完成風(fēng)險(xiǎn)評(píng)估工作。而ISMS安全管理小組成員則能非常方便的完成對(duì)各類發(fā)現(xiàn)的風(fēng)險(xiǎn)進(jìn)行分析、統(tǒng)計(jì)���、報(bào)告等,并能對(duì)歷次評(píng)估的風(fēng)險(xiǎn)結(jié)果進(jìn)行比對(duì),了解風(fēng)險(xiǎn)的趨勢(shì)變化�,這些都是以前靠手工統(tǒng)計(jì)難以完成的。
體系建立完成后��,ISO27001體系的運(yùn)行�����,整改措施的跟蹤�,體系的內(nèi)審���、安全檢查��、管理評(píng)審�����、外部審核等工作,通過軟件系統(tǒng)也很容易進(jìn)行管理落地��,方便ISMS管理小組開展工作�,真正做到了體系的長(zhǎng)期有效執(zhí)行。
客服咨詢
158-0008-7775 
