信息安全管理要求ISO/IEC27001的前身為英國(guó)的BS7799標(biāo)準(zhǔn),該標(biāo)準(zhǔn)由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)于1995年2月提出,并于1995年5月修訂而成的��。1999年BSI重新修改了該標(biāo)準(zhǔn)��。BS7799分為兩個(gè)部分: BS7799-1��,信息安全管理實(shí)施規(guī)則; BS7799-2�����,信息安全管理體系規(guī)范����。 第一部分對(duì)信息安全管理給出建議,供負(fù)責(zé)在其組織啟動(dòng)、實(shí)施或維護(hù)安全的人員使用;第二部分說(shuō)明了建立、實(shí)施和文件化信息 管理體系(ISMS)的要求��,規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求����。
ISO27001和ISO20000認(rèn)證已經(jīng)成為企業(yè)核心競(jìng)爭(zhēng)力的重要標(biāo)志����。
ISO27001是國(guó)際上針對(duì)信息安全的權(quán)威認(rèn)證標(biāo)準(zhǔn)�����,由BSI倡導(dǎo)制定�。BSI是國(guó)際標(biāo)準(zhǔn)化組織(ISO)、國(guó)際電工委員會(huì)(IEC)����、歐洲標(biāo)準(zhǔn)化委員會(huì)(CEN)���、歐洲電工標(biāo)準(zhǔn)化委員會(huì)(CENELEC)、歐洲電信標(biāo)準(zhǔn)學(xué)會(huì)(ETSI)創(chuàng)始成員之一�����,廣為人知的ISO9000系列管理標(biāo)準(zhǔn)同樣是由BSI所倡導(dǎo)制定。
目前�,在信息安全管理方面���,英國(guó)標(biāo)準(zhǔn)ISO27001:2013(前身為ISO27001:2005)已經(jīng)成為世界上最權(quán)威��、應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)����,它定義了11個(gè)信息安全控制域和133個(gè)控制項(xiàng)�����,旨在幫助企業(yè)在安全策略�����、安全制度�、安全操作和管理流程等方面,形成統(tǒng)一的信息安全管理體系�。115科技認(rèn)證范疇覆蓋如下:云存儲(chǔ)�����、云社區(qū)和機(jī)構(gòu)組織信息化云平臺(tái)的設(shè)計(jì)���、研發(fā)和服務(wù)的信息安全管理�。
隨著社會(huì)信息化的不斷發(fā)展,信息本身蘊(yùn)含了巨大的價(jià)值���,成為財(cái)富的主要來(lái)源之一。因此,信息安全的保障建設(shè)工作得到了越來(lái)越多組織和企業(yè)的關(guān)注和重視。為了有效管理組織內(nèi)部與信息安全相關(guān)的風(fēng)險(xiǎn)���,基于ISO27001建立的信息安全管理體系 (ISMS)被認(rèn)為是最全面有效的方式���。
通常企業(yè)在建設(shè)信息安全管理體系(ISMS)時(shí)�����,可以根據(jù)自身需要,引入ISMS標(biāo)準(zhǔn)����,來(lái)指導(dǎo)其ISMS建設(shè)����,如國(guó)際標(biāo)準(zhǔn)ISO27001。企業(yè)可以自行實(shí)施,也可以請(qǐng)外部咨詢顧問(wèn)�,來(lái)協(xié)助企業(yè)進(jìn)行整個(gè)體系建設(shè)的過(guò)程��。從資產(chǎn)收集和分析����、風(fēng)險(xiǎn)評(píng)估��,到建立信息安全管理的框架,并從信息系統(tǒng)的所有層面進(jìn)行整體安全建設(shè)���,并將其文檔化���,保持文件化的信息安全管理體系����。進(jìn)行審核與批準(zhǔn)并發(fā)布實(shí)施,信息安全管理體系進(jìn)入運(yùn)行階段�。組織通過(guò)加強(qiáng)運(yùn)作力度,充分發(fā)揮體系本身的各項(xiàng)功能,并通過(guò)內(nèi)審,自我安全檢查等手段不斷完善體系和執(zhí)行,并最終通過(guò)外審獲得資質(zhì)認(rèn)證����。
在以往國(guó)內(nèi)實(shí)施ISMS建設(shè)的組織當(dāng)中��,大多是按照這樣的過(guò)程來(lái)進(jìn)行的。ISMS建設(shè)的實(shí)施人員,除了要具備必要的知識(shí)技能和管理意識(shí)外��,還要面臨大量具體、繁瑣而枯燥的工作,例如對(duì)信息資產(chǎn)的收集和維護(hù)過(guò)程����,以及對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)的大量文案工作;當(dāng)ISMS體系建立起來(lái)以后�����,對(duì)體系的審核與維護(hù)過(guò)程非常復(fù)雜���,面臨整改措施的跟蹤�����、流程的運(yùn)轉(zhuǎn)�、信息的管理、知識(shí)庫(kù)的沉淀等問(wèn)題����。
在管理實(shí)踐過(guò)程中�,將管理工作信息化是一種提高管理效率���、落實(shí)管理效果的常見手段����。那么,將信息安全管理體系(ISMS)建設(shè)和運(yùn)轉(zhuǎn)過(guò)程固化到信息系統(tǒng)中是否可行呢?從體系的實(shí)施過(guò)程來(lái)說(shuō)����,國(guó)內(nèi)已經(jīng)有不少企業(yè)和組織都建立了信息安全管理體系���,可以將風(fēng)險(xiǎn)管理與控制體系建設(shè)方法及過(guò)程在軟件系統(tǒng)中固化下來(lái),并建立與各種信息安全風(fēng)險(xiǎn)控制相關(guān)����,與法規(guī)制度��、標(biāo)準(zhǔn)指南相對(duì)應(yīng)的信息安全風(fēng)險(xiǎn)控制的知識(shí)庫(kù)�����。
Goo-ISMS首先為不同的安全角色定制了不同的視圖����,ISMS管理小組成員,各部門安全管理員�、部門和公司領(lǐng)導(dǎo)登陸系統(tǒng)后分別能看到自己在信息安全工作中用到的信息����。
化繁為簡(jiǎn)的風(fēng)險(xiǎn)管理工作
系統(tǒng)固化了多種信息安全風(fēng)險(xiǎn)評(píng)估方法論。各部門安全管理員從軟件自帶的風(fēng)險(xiǎn)知識(shí)庫(kù)中選擇各類資產(chǎn)的推薦風(fēng)險(xiǎn),快速完成風(fēng)險(xiǎn)評(píng)估工作�����。而ISMS安全管理小組成員則能非常方便的完成對(duì)各類發(fā)現(xiàn)的風(fēng)險(xiǎn)進(jìn)行分析、統(tǒng)計(jì)�、報(bào)告等��,并能對(duì)歷次評(píng)估的風(fēng)險(xiǎn)結(jié)果進(jìn)行比對(duì)����,了解風(fēng)險(xiǎn)的趨勢(shì)變化,這些都是以前靠手工統(tǒng)計(jì)難以完成的���。
體系建立完成后,ISO27001體系的運(yùn)行�,整改措施的跟蹤��,體系的內(nèi)審�����、安全檢查���、管理評(píng)審����、外部審核等工作��,通過(guò)軟件系統(tǒng)也很容易進(jìn)行管理落地,方便ISMS管理小組開展工作,真正做到了體系的長(zhǎng)期有效執(zhí)行���。
客服咨詢
158-0008-7775 
