信息安全ISO27001体系建设指导
信息安全ISO27001体系建设指导(信息安全管理体系)
ISO27001作为信息安全管理领域的权威标准,经过多年的实践和优化改进,目前已是全球业界一致公认的辅助信息安全治理的手段和最佳指导。
这是1个通用型的国际标准,在金融行业、制造业、航空运输、互联网行业等等各个领域都有良好的最佳实践成功案例。组织或企业或机构,都能够参考此标准构建符合组织自身环境和需求的信息安全管理体系。
第一,ISO27001体系建设实施方法
下图是ISO27001项目实施最佳方法论:
项目的目标达成和预期收益,是项目核心关注点。上图示例的项目方法论,是一套全面、系统化的实施方法论。从策略、结构、流程、人员、技术5个维度,导入标准,实施优化和变革。之后,以运维变更管理为主轴,实现持续运营。
我们都晓得,信息安全不是一次标准导入、一次评估审计整改,就能达到预期目标和目的的。信息安全的建设,必须1个良好的运作机制,实现持续运营,持续改进,以推进信息安全治理不断达到新高度。
第二,ISO27001管理体系的框架
ISO组织于2013年9月26日,推出了最新的版本ISO/IEC27001:2013信息安全管理体系标准,其框架图如下:
以上的框架,有详细的标准解读,这里不多做介绍了。标准的体系框架,几乎能够涵盖目前所有的组织管理领域,即使是互联网企业,仍然适用。只不过,部分域在某些组织或机构中,比较薄弱而已,例如:供应关系管理。
当然,云计算时代,标准中的众多管理已经由云服务商实施落地了,这种情况,我们更多关注的是检查或审计云服务商的信息安全符合性。
第三,ISO27001导入及认证步骤
整体过程从战略明确,到现状评估和差异分析,再到体系设计与建立,之后实施体系运行发布,接着实行内部审核和改进,最后获取认证。必须特别说明一点的是,ISO27001信息安全管理体系认证,每一年都必须进行审核,3年重新认证。
下图为ISO27001认证步骤示例:
以上参考的标准和监管要求,各个行业的要求各不相同。金融行业的监管要求就是非常丰富和严格,需进行解读匹配。在标准和要求冲突时,以监管要求、本地标准优先。如金融监管要求的优先级,要高于ISO标准要求;互联网行业注重敏捷、简洁、快速,需和ISO标准进行融合沟通,达成一致。
第四,PDCA持续改进理论
基于PDCA循环框架构建信息安全管理体系,通过规划、设计实施、监控审计、以及持续改进,保证体系运作的有效性和长效性,真正实现信息安全的持续改进和优化,从而保障组织的业务安全。
这也是一套通用的信息安全PDCA循环方法论。无论互联网企业,还是传统的金融行业,都能够采用这种方式。
总 结
标准是固定不变的,但行业的最佳实践各有各的不同。因此,ISO27001体系建设,必须和组织自身情况相结合,不能为了标准符合而限制业务。
信息安全不容忽视企业做ISO20000认证有什么好处
概念
ISO20000是第一部针对信息技术服务管理领域的国际标准,也是一套有关怎样采用流程方法有效地提供服务以满足顾客业务需求的方法。
作为认证组织的IT运营和服务管理水平的国际标准,ISO20000具体规定了IT服务管理行业向企业以及顾客有效地提供服务的,一体化的管理过程以及过程建立的相关需求,协助识别和管理IT服务的关键过程,保证提供有效的IT服务以满足顾客和业务的需求。
该标准一方面能够用于IT服务业,例如IT咨询,系统集成,IT教育与培训,IT系统外包,业务流程外包,软件与硬件维护与支持等服务;另一方面,也能够应用于组织内部的IT服务部门,例如金融,电信等行业的数据中心等。
认证价值
&midDOT;得以获得业界普遍认同的国际证书ISO20000认证;
·就服务质量和服务承诺与业务及供货商达成一致,建立和业务及供货商统一的沟通平台;达到相关利益方均满意的IT服务管理目标;
·提高IT服务的可用性、可靠性和安全性,为业务用户提供高质量的服务;
·持续优化服务流程,提升服务水平,提高业务满意度;
·提高项目的可提供性并确保如期交付;
·从总体上提高组织/企业IT投资的报酬率,提升组织/企业的综合竞争力;
·建立IT部门一整套行之有效的持续改善机制和内控机制;
·明晰IT管理成本和组织/企业业务战略和IT战略目标的结合点,完善现有IT服务结构和资源配置,使各项IT资源的运用符合公司业务战略和IT战略目标;
·通过建立优化、透明的管理流程和权责的定义,监控管理流程、进行绩效评价;降低IT运营的管理成本和风险;
·易于整合服务管理流程和其它管理系统,如:信息安全管理体系ISMS 、质量管理体系ISO9000等;
·将现有管理体系和业务流程整合,规范IT部门服务水平,规范工作流程,降低由人员变动导致的风险;
·提高IT部门相关员工的专业素质,提高员工的服务能力和工作效能;
·提升IT部门整体运作及部门间沟通的能力。