ISO/IEC27001 信息安全管理体系,即Information Security Management System,简称ISMS。概念最初源于英国标准BS7799,经过十年的不断改版,最终再2005年被国际标准化组织(ISO)转化为正式的国际标准,目前国际采用进一步更新的ISO/IEC27001:2013作为企业建立信息安全管理的最新要求。该标准可用于组织的信息安全管理建设和实施,通过管理体系保障组织全方面的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的信息安全管理。
Plan规划:信息安全现状调研与诊断、定义ISMS的范围和方针、定义风险评估的系统性方针、资产识别与风险评估方法、评价风险处置的方法、明确控制目标并采取控制措施、输出合理的适用性声明(SOA);
DO:实施控制的管理程序、实施所选择的控制措施、管理运行、资源提供、人员意识和能力培训;
Check:执行监视和测量管理程序、实施检查措施并定期评价其有效性、评估残余风险和可接受风险的等级、ISMS内部审核、ISMS管理评审、记录并报告所有活动和事态事件;
Act:测量ISMS业绩、收集相关的改进建议并处置、采取适当的纠正和预防措施、保持并改进ISMS确保持续运行。
今天,我们已处于信息时代,并且在这个信息高速传递的时代中,我们的计算机和网络成为了我们重要的生产工具,而信息就成为了重要的生产资料和产品。但伴随着信息高速的发展的同时,如信息泄露,黑客攻击,病毒破坏,系统瘫痪等以及利用计算机网络实施的各种犯罪事件已出现在我们身边。
我们不妨打开手机,电脑或者电视都可以发现关于信息安全的时间几乎每天都在发生,我们能够发现他们的一个共同点是,一旦信息资产遭到破坏,造成的损失不仅仅是组织的经济,还甚至是组织的声誉,形象,进而使得组织失去市场机会和竞争力,严重的还会威胁到组织的生存。
很长的一段时间里,我们都没有重视这个问题,仅以为这些问题单纯依靠技术就可以防范了,最开始以为有杀毒工具,有防火墙可以隔拦截信息侵害,再后者有了加密技术,到了后来各种的入侵检测系统,公钥基础设施,恶意程序代码防护,漏洞扫描等,都是以技术来主导信息安全,但仅仅是这样就能够解决信息安全的问题了吗?
也许可以解决绝大部分的问题,却没有解决根本的问题。或许哪一天又有新的危害发生,而恰巧我们没有新的技术支撑我们的信息安全体系时那时候我们又该怎么办呢?实际上,对信息安全技术的应用只是实现信息安全的手段而已,而完整的信息安全体系,还需要包含有制定完善的信息安全策略,信息资产的风险评估,通过风险评估确定需求,根据需求选择合适的技术,并按照相应的安全策略和流程规范来实施、维护和审查安全控制措施。
信息安全不是一个技术过程,它一定是管理过程。造成这样的现象可以说是多方面原因造成的,首先管理信息安全最实际的一点是我们能看到它能做什么,安全技术发挥的作用我们能看到,它帮我们拦截病毒,恶意程序等等,久而久之我们就以为有技术就能够防范侵害,但是管理过程是无形的,在发生安全侵害之后,管理人员对这些侵害做出对应的措施,分析为什么发生,制定什么样的措施来降低这些风险,以达到信息安全的可持续性。这些我们在平常是看不到的。
针对这些,管理人员不仅要保持持续改进的思想,更需要提供更为有效的支持,而人员方面则需要加强信息安全的认识,内部需要定期对信息安全教育做普及以及对内部信息安全做总结。
还没有评论,来说两句吧...