信息安全管理體系(Information Security Management System,簡稱ISMS)的概念最初來源于英國標準學會制定的BS7799標準, 并伴隨著其作為國際標準的發布和普及而被廣泛地接受。ISO/IEC JTC1 SC27/WG1(國際標準化組織/國際電工委員會信息技術委員會 安全技術分委員會/第一工作組)是制定和修訂ISMS標準的國際組織。ISO/IEC27001:2005(《信息安全管理體系 要求》)是ISMS認證所采用的標準。目前我國已經將其等同轉化為中國國家標準GB/T 22080-2008/ISO/IEC 27001:2005。
隨著信息化的發展與互聯網的普及,各種信息安全犯罪問題也隨之出現,信息安全犯罪手段呈現多樣化,從以往單一的技術犯罪衍生出欺詐,盜竊,過失等等造成的信息安全犯罪案例。因此如何從技術手段與管理手段進行全方位來保障組織的信息安全已成為國家,企業,組織面臨信息安全的一個新的課題。ISO27001:2005信息安全管理體系要求就是為幫助各種組織進行信息安全管理而制訂的信息安全管理體系標準,通過正確的實施信息安全管理體系來減少企業面臨的信息安全風險,保護企業信息安全的機密性,完整性,可用性,最終使企業的業務持續運營。
本標準包括11個控制領域,39個控制目標和133個控制措施。在實施的過程中,組織可以根據企業的實際情況,法律法規合約等因素選擇適用的控制措施,也可增加額外的控制措施。
1)安全策略(體現企業對信息安全管理體系的支持與承諾)
2)信息安全組織(建立信息安全管理架構,用于公司內部信息安全的管理和控制)
3)資產管理(確保對組織各項資產的安全進行有效保護)
4)人力資源安全(制訂所有人員的安全職責與角色)
5)物理和環境安全(對組織的運營場所做出安全要求)
6)通信和操作管理(完善公司內外的溝通與聯系,以利于信息安全管理體系的順利進行)
7)訪問控制(管理信息資產的訪問行為)
8)信息系統獲取、開發和維護(確保公司的IT項目和相關的支持活動已實施安全控制)
9)信息安全事故管理(通報信息安全事故并采取糾正措施,確保實施有效的信息安全事故管理辦法)
10)業務連續性管理(制訂企業持續運營計劃,保護企業核心業務免受重大災難的中斷與影響)
11)符合性(符合法律法規合約的要求)
建立信息安全管理體系,能切實提高組織的信息安全管理水平,提高全員信息安全意識, 降低信息安全風險,保證信息的保密性、完整性和可用性。增強投資者及其他利益相關方的投資信心;向政府及行業主管部門證明組織對相關法律法規的符合性;向客戶表明組織對信息安全的承諾;維護企業的品牌名譽和客戶信任;
如何利用導入ISO27001信息安全管理體系的機會,從根本上改善了公司的運營管理水平,加強了公司的信息安全管理,防止在業務流程中出現泄密漏洞,保障了公司的知識產權的安全,使企業得以持續有效的運營。只有從真正意義上成功導入ISO27001信息安全管理體系,才達到了此標準的初衷。為了擺脫證書擺桌上,體系擺一邊的尷尬局面,我們必需把握以成功導入的關鍵因素:
1, 來自公司高層管理者的明確支持與承諾。
2, 反映業務目標的信息安全方針、目標以及活動。
3, 正確理解信息安全標準要求、風險評估和風險管理。
4, 向所有管理者、員工和其它相關的組織傳達有效的信息安全知識以及使他們具備安全意識。
5, 向所有管理者、員工和其它相關的分發關于信息安全方針和標準的指導意見。
6, 提供資金支持信息安全管理活動。
7, 提供適當的意識、培訓、和教育。