ISO27001信息安全管理體系作為信息安全管理領域的權威標準,經過多年的實踐和優化改進,目前已是國際一致公認的輔助信息安全治理的手段和最佳指導。ISO27001是一個通用型的國際標準,在金融行業、制造業、航空運輸、互聯網行業等等各個領域都有良好的最佳實踐成功案例。組織或企業或機構,都可以參考此標準構建符合組織自身環境和需求的信息安全管理體系。山東世通國際認證有限公司是國家認監委授權的ISO27001審核發證機構,有著多年的經驗,可為企業提供全方位的專業技術支持,電話:400-675-8617
一、ISO27001體系建設實施方法
項目(mu)的目(mu)標達成和(he)預(yu)期收益(yi),是(shi)(shi)項目(mu)核心關注(zhu)點。上(shang)圖示例(li)的項目(mu)方法論,是(shi)(shi)一(yi)套全(quan)面、系�������統������化(hua)的實施方法論。從(cong)策略、結構(gou)、流程、人員、技(ji)術(shu)五(wu)個維度,導入標準,實施優化(hua)和(he)變革。之后,以(yi)運維變更管理為主軸,實現持(chi)續運營。
我們都知(zhi)道,信(xin)息(xi)(xi)安全不(bu)是一次標準導入、一次評(ping)估審計整改,就能達到預期目標和目的(de)的(de)。信(xin)息(xi)(xi)安全的(de)建設,需要一個良好的(de)運(yun)作機(ji)制,����實現持續(xu)運(yun)營,持續(xu)改進(jin),以(yi)推進(jin)信(xin)息(xi)(xi)安全治(zhi)理不(bu)斷(duan)達到新高度。
二、ISO27001管理體系的框架
ISO組(zu)織于2013年9月26日,推出了最(zui)新的版本ISO/IEC27001:2013信息安全管(guan)理(li)體系(xi)標準。標準的體系(xi)框架,幾乎可以涵蓋目(mu)前所有的組(zu)織管(guan)理(li)領域,即使是互聯網企業,仍然適用。只不過������(guo),部(bu)分域在某些組(zu)織或機構中,比較薄弱而已,例如:供應關系(xi������)管(guan)理(li)。
當然(ran),云(yun)計算時代,標準中的眾多管理(li)已(yi)經(jing)由云(yun)服(fu)務(wu)商(shang)實施落(luo)地了,這種(zhong)情況(kuang),我們更多關(guan)注的是檢查(cha)或審計云(yun)服(fu)務(wu)商(shang)的信息(xi)安全符������合性。
三、ISO27001導入及認證步驟
整(zheng)體(ti)過程從戰略確定,到(dao)現狀評(ping)估和差(cha)異分析,再(zai)到(dao)體(ti)系(xi)設計(ji)與建立,之(z������hi)后(hou)實施體(ti)系(xi)運行發(fa)布,接著實行內部審(shen)核和改進(jin),最后(hou)獲取認(ren)證(zheng)(zheng)。需要特別說明一(yi)點的是,ISO27001信息安全管理體(ti)系(xi)認(ren)證(zheng)(zheng),每年������都(dou)需要進(jin)行審(shen)核,三年重新認(ren)證(zheng)(zheng)。
以上參考的(de)標準(zhun)(zhun)和(he)監管要求(qiu),各(ge)個行業(ye)的(de)要求(qiu)各(ge)不相同(tong)。金融行業(ye)的(de)監管要求(qiu)就是非常豐富和(he)嚴(yan)格,需(xu)進行解讀匹配。在標準(zhun)(zhun)和(he)要求(qi�������u)沖突時,以監管要求(qiu)、本地標準(zhun)(zhun)優(you)(you)先。如金融監管要求(qiu)的(de)優(you)(you)先級,要高于ISO標準(zhun)(zhun)要求(qiu);互聯網行業(ye)注(zhu)重敏(min)捷、簡潔、快(kuai)速(su),需(xu)和(he)ISO標準(zhun)(zhun)進行融合溝通,達成一致。
四、PDCA持續改進理論
基(ji)于�������PDCA循環框架構(gou)建信息(xi)安(an)全(quan)管理體系(xi),通過規劃、設計實(shi)施、監控審(shen)計、以及持續改(gai)(gai)進,保(bao)證體系(xi)運作的有(you)效性和長效性,真正(zheng)實(shi)現��������信息(xi)安(an)全(quan)的持續改(gai)(gai)進和優化,從而保(bao)障(zhang)組織的業務安(an)全(quan)。
這(zhe)也(ye)是一套通用(yong)的(de)信息安全PDCA循環方(fang)法����論(lun)。無論(lun)互聯網企業,還是傳統的(de)金融行業,都可以采用(yong)這(zhe)種方������(fang)式(shi)。
五、總結
標準是(shi)固定不變(bian)的(de)(de),但(�����dan)行(xing)業的(de)(de)最佳實踐各(�����ge)有(you)各(ge)的(de)(de)不同(tong)。因(yin)此(ci),ISO27001體系建(jian)設,必須和組織(zhi)自身情況(kuang)相結合,不能為了標準符合而限制(zhi)業務(wu)。
搜索
客戶案例
