ISO27001信息安全管理體系作為信息安全管理領域的權威標準,經(jīng)過多年的實踐和優(yōu)化改進���,目前已是國際一致公認的輔助信息安全治理的手段和最佳指導�。ISO27001是一個通用型的國際標準�,在金融行業(yè)、制造業(yè)��、航空運輸�����、互聯(lián)網(wǎng)行業(yè)等等各個領域都有良好的最佳實踐成功案例�����。組織或企業(yè)或機構�,都可以參考此標準構建符合組織自身環(huán)境和需求的信息安全管理體系。山東世通國際認證有限公司是國家認監(jiān)委授權的ISO27001審核發(fā)證機構�,有著多年的經(jīng)驗��,可為企業(yè)提供全方位的專業(yè)技術支持��,電話:400-675-8617
一�、ISO27001體系建設實施方法
項目的目標達成和預期收益�,是項目核心關注點。上圖示例的項目方法論��,是一套全面����、系統(tǒng)化的實施方法論����。從策略、結構�、流程、人員���、技術五個維度��,導入標準��,實施優(yōu)化和變革����。之后,以運維變更管理為主軸����,實現(xiàn)持續(xù)運營。
我們都知道�,信息安全不是一次標準導入、一次評估審計整改�����,就能達到預期目標和目的的�����。信息安全的建設����,需要一個良好的運作機制,實現(xiàn)持續(xù)運營����,持續(xù)改進,以推進信息安全治理不斷達到新高度��。
二、ISO27001管理體系的框架
ISO組織于2013年9月26日����,推出了最新的版本ISO/IEC27001:2013信息安全管理體系標準。標準的體系框架�,幾乎可以涵蓋目前所有的組織管理領域,即使是互聯(lián)網(wǎng)企業(yè)����,仍然適用。只不過���,部分域在某些組織或機構中,比較薄弱而已���,例如:供應關系管理�。
當然�����,云計算時代��,標準中的眾多管理已經(jīng)由云服務商實施落地了���,這種情況���,我們更多關注的是檢查或審計云服務商的信息安全符合性���。
三、ISO27001導入及認證步驟
整體過程從戰(zhàn)略確定����,到現(xiàn)狀評估和差異分析,再到體系設計與建立��,之后實施體系運行發(fā)布��,接著實行內部審核和改進�����,最后獲取認證�����。需要特別說明一點的是���,ISO27001信息安全管理體系認證�,每年都需要進行審核,三年重新認證�����。
以上參考的標準和監(jiān)管要求�,各個行業(yè)的要求各不相同。金融行業(yè)的監(jiān)管要求就是非常豐富和嚴格�,需進行解讀匹配。在標準和要求沖突時����,以監(jiān)管要求、本地標準優(yōu)先�����。如金融監(jiān)管要求的優(yōu)先級�,要高于ISO標準要求�����;互聯(lián)網(wǎng)行業(yè)注重敏捷�、簡潔、快速���,需和ISO標準進行融合溝通�����,達成一致���。
四���、PDCA持續(xù)改進理論
基于PDCA循環(huán)框架構建信息安全管理體系,通過規(guī)劃��、設計實施����、監(jiān)控審計、以及持續(xù)改進���,保證體系運作的有效性和長效性��,真正實現(xiàn)信息安全的持續(xù)改進和優(yōu)化�����,從而保障組織的業(yè)務安全�。
這也是一套通用的信息安全PDCA循環(huán)方法論。無論互聯(lián)網(wǎng)企業(yè)��,還是傳統(tǒng)的金融行業(yè)�,都可以采用這種方式。
五����、總結
標準是固定不變的,但行業(yè)的最佳實踐各有各的不同�。因此,ISO27001體系建設���,必須和組織自身情況相結合����,不能為了標準符合而限制業(yè)務�����。
好文要分享:
魯公網(wǎng)安備 37020602000060號
