客服热线:
手机版
二维码
ISO27001认证体系信息安全管理策略指南
ISO27001认证体系信息安全管理策略指南
实施信息化、工业化(即两化融合)认证企业不可避免会涉及到ISO27001信息安全管理体系,本文摘要介绍ISO27001认证体系信息安全管理策略,仅供参考。
一.控制-信息安全策略集宜被定义,由管理者批准、发布,传达给所有员工和外部相关方;
二.实现指南-在最高管理层次上,公司定义1个息安全方针,该方针宜获获得管理层批准,并建立组织管理其信息安全目标的方法。
信息安全方针宜关注下列方面产生的要求
(1) 业务战略;
(2) 法律、法规和合同;
(3)当前和预期的信息安全威胁环境。
该息安全方针应包含涉及以下内容的陈述:
a) 息安全、目标和原则的足义,以指导所有信息安全有关的活动;
b) 信息安全管理方面的通常和 特定责任的分配给已定义的角色;
c) 处理偏差和意外外的过程。
在较低层面.,该信息安全策略应宜由特定主题的策略予以支持. 这些策略进1步强制性地规定了信息安全控制的实现,通常是结构化的,以强调组织内某些目标群体的需求或涵盖某些主题。例如, 这样的策略主题包含:
a) 访问控制 ;
b) 信息分级(和l 处理) :
c) 物理和环境安全 ;
d)面向终端用户策略:
1) 资产的可接受使用 :
2) 桌面和屏幕的清理:
3) 信息传输:
4)移动监备l远程工作 ;
5) 软件安装以及使用规则;(这是实施ISO27001认证体系控制点)
e) 备份 ;
f)信息传输 ;
g) 恶意软件防范;
h) 技术脆弱性管理 :
i ) 密码控制 :(这是实施ISO27001认证体系控制点)
j )通信安全 ;
k) 隐私以及个人可识别信息的保护;
1) 供应商关系。
这些策略宜采用顶期读者适合的、可访问和可理解的形式传达给员工和外部相关方, 例如 .信息安全意识、教育和培训环境下。
三.其他信息
内部信息安全策略求因组织而异。内部策略对于大型和复杂的组织而言尤其有用,当这些组织中明确和批准控制预期水平的人且与实现控制的人员是分离的. 或者当内部策略应用在组织不同的人员或职能时,也是非常有用的。信息、安全策略能够以单一..信息安全策略"文件的形式发布. 或作为各不相同但相互关联的一套文仲的形式发布。
假如信息安全策略在组织外进行分发,宜注意不要泄漏保密信息。
上述内容实施ISO27001认证体系企业制订信息安全策略时参考。
ISO27001认证体系信息安全要求来源
ISO27001认证体系信息安全要求来源
1.在了解ISO27001认证体系信息安全要求来源前,先要了解企业所面临的信息安全背景和环境,以便更好理解和实施ISO27001认证体系。
所有类型和规模的组织(包含公共和私营部门、商业和非盈利组织)都要采用不同方式(包含电子方式、物理方式、会谈和陈述等口头方式)收集、处理、存储和传输信息。信息的价值超越了文字、数字和图像:无形的信息可能包含知识、概念、观念和品牌等。在互联的世界里,信息和相关过程、系统、网络以及操作、处理和保护的过程中所涉及的人员都是资产,与其它重要的业务资产一样,对组织的业务至关重要,因此必须防护各种危害。因相关过程、系统、网络和人员具有固有的脆弱性,资产易受到故意或意外的威胁。对业务过程和系统的变更或其他外部变更(例如新的法律和规章)可能产生新的信息安全风险。因此,考虑到威胁利用脆弱性损害组织会有大量方式,信息安全风险是一直存在的。有效的信息安全能够通过保护组织免受威胁和脆弱性,从而减少这些风险,进1步降低对组织资产的影响。信息安全是通过实施一组合适的控制措施而达到的,包含策略、过程、规程、组织结构以及软件和硬件功能。在必要时需建立、实施、监视、评审和改进这些控制措施,以确保满足该组织的特定安全和业务目标。为在1个一致的管理体系总体框架下实施一套全面的信息安全控制措施,信息安全管理体系(例如ISO/IEC 27001所指定的)从整体、协调的角度看待组织的信息安全风险。从ISO/IEC 27001和本标准的意义上说,许多信息系统并没有被设计成是安全的。通过技术手段可获得的安全性是有限的,宜通过适当的管理和规程给予支持。明确什么控制措施宜实施到位必须仔细规划并注意细节。成功的信息安全管理体系必须组织所有员工的参与,还要求利益相关者、供应商或其他外部方的参与。外部方的专家建议也是必须的。就通常意义而言,有效的信息安全还能够向管理者和其他利益相关者保证,组织的资产是适当安全的,并能防范损害。因此,信息安全可承担业务使能者的角色。
2.ISO27001认证体系信息安全要求
组织识别出其安全要求是非常重要的,安全要求有3个主要来源:
a) 对组织的风险进行评估,考虑组织的整体业务策略与目标。通过风险评估,识别资产受到的威胁,评价易受威胁利用的脆弱性和威胁发生的可能性,估计潜在的影响;
b) 组织、贸易伙伴、承包方和服务提供者必须满足的法律、法规、规章和合同要求,以及他们的社会文化环境;
c) 组织开发的支持其运行的信息处理、加工、存储、沟通和存档的原则、目标和业务要求的特定集合。
实施控制措施所用资源必须根据缺乏这些控制措施时由安全问题导致的业务损害加以平衡。风险评估的结果将协助指导和明确适当的管理措施、管理信息安全风险以及实现所选择的用以防范这些风险的控制措施的优先级。ISO/IEC 27005提供了信息安全风险管理的指南,包含风险评估、风险处置、风险接受、风险沟通、风险监视和风险评审的建议。
3.选择控制措施以实施ISO27001认证体系
控制措施能够从本标准或其他控制措施集合中选择,或者当合适时设计新的控制措施以满足特定需求。控制措施的选择依赖于组织基于风险接受准则、风险处置选项以及所应用的通用风险管理方法做出的决策,同时还宜遵守所有相关的国家和国际法律法规。控制措施的选择还依赖于控制措施为提供深度防御而相互作用的方式。本标准中的某些控制措施可被当作信息安全管理的指导原则,并且可用于大多数组织。在下面的实施指南中,将更详细的解释这些控制措施。更多的关于选择控制措施和其他风险处置选项的信息见ISO/IEC 27005。
