隨着信息化水平的不斷提高,信息本身的價值越來越高,信息安全風險始終存在,同時由於諸如敏感信息泄露、網絡非法劫持、核心系統宕機等信息安全事件時有發生,國家出台了如《中華人民共和國網絡安全法》、《互聯網個人信息安全保護指南》、《加強工業互聯網安全工作的指導意見》、《中華人民共和國密碼法》、《電信和互聯網行業提升網絡數據安全保護能力專項行動方案》等意見法規文件,對企業實施信息安全管理提出了更高的要求。實施信息安全管理體系(ISO27001)並通過第三方認證,重要性日漸凸顯。
文之後將圍繞體系標準介紹、標準實施收益、如何通過信息安全管理體系認證三個方面,給大家做簡要介紹。
1、信息安全管理體系標準介紹
信息安全管理體系(Information Security Management System,簡稱ISMS)的概念最初來源於英國標準學會制定的BS7799-1:1995《信息安全管理實施細則》。2002年,英國標準學會發佈了BS7799-2:2002《信息安全管理體系規範》,2005年10月,該規範通過了國際標準化組織ISO的認可,正式成為國際標準,被廣泛接受。這套標準是建立信息安全管理體系的一套需求規範,其中詳細說明了建立、實施和維護信息安全管理體系的要求,指出實施機構應該遵循的風險評估標準。
目前現行的ISO27001:2013標準於2013年10月19日由國際標準化組織(ISO)正式頒佈實施。
2、通過信息安全管理體系認證的收益
組織實施信息安全管理體系,通過ISO27001標準認證,表示企業已經建立了一套科學有效的體系作為保障,為企業帶來全面的價值提升,包括但不限於以下五個方面:
提高企業品牌形象。企業實施信息安全管理體系並通過第三方認證機構相關認證,能向公眾和外部客戶展示自身的管理水平,能向外部證明自身管理能力符合相關信息安全標準及相關法律法規的要求,體現企業較於同業企業的競爭優勢。
獲取政府財務支持。為相應國家相關行業政策,推進區域企業高質量發展,鼓勵企業提升自身信息安全管理能力,各地主管部門對本地區通過第三方認證的企業有不同的財務補貼政策。
其他資質前提條件。目前有許多IT行業內通用的證書如業務連續性管理體系(ISO22301)、 雲服務信息安全管理體系、(ISO27017)雲隱私保護體系、(ISO27018)隱私信息安全管理體系(ISO27701)、個人身份信息保護管理體系(ISO21951)、國際雲安全認證(C-STAR)等,在申報這些認證證書時,申報企業需要提前建立ISO27001管理體系並通過第三方認證。
提高企業信息安全管理能力通過實施ISO27001,按照PDCA模型建立信息安全管理自我約束機制,有助於企業識別信息安全風險並加改進規避,減少可能存在的安全隱患,降低潛在安全事件發生給企業帶來的損失,規範企業各個部門各個崗位的職責,提升員工信息安全意識,不斷改善,有效預防,最終實現組織的良性發展。
滿足市場准入需求。各類體系認證證書是IT行業招投標的敲門磚,不同證書在不同的投標標的會有不同的分數佔比。部分項目標的甚至明確要求ISO27001認證證書作為準入門檻。
3、如何通過ISO27001體系認證
我們以ISO/IEC27001標準為指導,結合信息安全體系認證優秀實踐,充分考慮國內企業的信息安全管理現狀,總結歸納出適宜電子信息行業快速通過ISO27001認證的六大流程:
差距分析:從人員、環境、技術、管理四個方面對企業進行評估調研,發掘組織信息安全需求,分析與標準之間差距,明確體系實施的目標、範圍和要點。
培訓導入:結合組織信息安全目標和方針,指導、協助編寫ISO27001程序文件、管理手冊,制定合乎規範的管理規程和控制措施。
體系建立:結合組織信息安全目標和方針,指導、協助編寫ISO27001程序文件、管理手冊,制定合乎規範的管理規程和控制措施。
推廣實施:在企業內部推進體系運行,識別信息安全風險資產,在適宜時間開展有效的內部評審和管理評審,保留體系有效運行證據。
現場審核:向第三方認證機構申請信息安全管理體系認證,協助企業完成現場審核,整改或糾正審核過程中產生的不符合項。
改進維持:規劃體系年度審核計劃及方案,按照PDCA原則,結合企業實際需求,繼續完善和改進信息安全管理體系。
審核前需準備的材料
在進行管理體系審核之前,需要準備和提交完備的體系材料。通常我們將這些材料分為管理手冊、程序文件、制度策略、運行記錄等四級文件。各級文件對應的材料包括但不限於:
審核員一般會關注的點
在進行文件審核時,外部審核員主要關注信息安全管理體系文件是否符合ISO27001標準,關注文件的適宜性和完整性是否符合要求。着重關注的文件包括但不限於:法律地位證明、組織簡介、組織機構圖、人員情況說明、管理手冊、程序文件、信息安全方針和目標、信息安全管理體系的規程和控制措施、SOA適用性聲明、風險評估報告、殘餘風險聲明、風險處置計劃、資產識別表、法律法規清單.
現場審核時,外部審核員主要關注組織信息安全管理體系執行的程度及有效性,除着重關注各部門信息安全資產識別與風險管理相關記錄外,對應不同部門或角色,着重關注的體系運行記錄分別為:
行政人事部門:
1.來訪人員登記記錄
2.人員保密協議
3.與信息安全相關的法律法規清單、符合性評價
4.與相關相關的培訓計劃、培訓簽到記錄
IT相關部門:
1.服務器管理(包括設備點檢、測試日誌記錄與審查)
2.機房管理等重點區域進出管理
3.對各部門定期殺毒、屏保、密碼等監督檢查表單
4.公司軟件使用清單、容量標註
5.重要數據備份記錄
6.上網安全檢查
7.各類信息系統如郵箱、OA權限及權限時效性管理記錄
市場業務部門:
1.合同、訂單
2.業務連續性資料(計劃、驗證)
3.訪問區域限制如未經授權人員可能進入的地點管理記錄
研發部門:
1.產品技術資料(設計開發資料,應包括信息安全風險評估)
2.研發人員保密協議
3.生產工藝流程圖
採購部門:
1.合格供應商名錄
2.供應商調查表
3.供應商簽署安全要求的文件協議
4.供應商基本資料(如營業執照、ISO9001證書等)
管理層:
1.目標達成統計表
2.文件清單(手冊、程序、作業指導書)
3.文件發佈記錄
4.外來文件清單
5.全公司資產識別與風險管理匯總表
6.內審、管審過程記錄
原創文章,作者:投稿專員,如若轉載,請註明出處:https://www.506064.com/zh-hk/n/219062.html
微信掃一掃 
支付寶掃一掃 
