ISO/IEC27001 信息安全管理体系,即Information Security Management System,简称ISMS。概念最初源于英国标准BS7799,经过十年的不断改版,最终再2005年被国际标准化组织(ISO)转化为正式的国际标准,目前国际采用进一步更新的ISO/IEC27001:2013作为企业建立信息安全管理的最新要求。该标准可用于组织的信息安全管理建设和实施,通过管理体系保障组织全方面的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的信息安全管理。
建立信息安全管理体系的作用与意义
信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程核查表( Checklists)等要素的集合。建立健全信息安全管理体系对企业的安全管理工企业的发展意义重大。
组织建立、实施与保持信息安全管理体系将会产生如下作用:
(1)强化员工的信息安全意识,规范组织信息安全行为;此体系的建立将提高员工信息全意识,提升企业信息安全管理的水平,增强组织抵御灾难性事件的能力,是企业信息化设中的重要环节,必将大大提高信息管理工作的安全性和可靠性,使其更好地服务于企业业务发展。
(2)对组织的关键信息资产进行全面系统的保护,维持竞争优势;通过信息安全管理体系的建设,可有效提高对信息安全风险的管控能力,通过与等级保护、风险评估等工作接续起来,使得信息安全管理更加科学有效。
(3) 在信息系统受到侵袭时,确保业务持续开展将损失降到最低程度。
(4) 使组织的生意伙伴和客户对组织充满信心
(5) 如果通过体系认证,表明体系符合标准,证明组织有能力保证重要信息,提高组织的知名度与信任度。
(6) 促使管理层贯彻信息安全保障体系。
(7) 组织可以参照信息安全管理模型,按照先进的信息安全管理标准BS79建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低成本,达到可接受的信息安全水平,从根本上保证业务的续性。
ISO27001认证流程步骤
第一阶段:现状调研
从日常运维、管理机制、系统配置等方面对贵公司信息安全管理安全现状进行调研,通过培训使贵公司相关人员全面了解信息安全管理的基本知识。
第二阶段:风险评估
对贵公司信息资产进行资产价值、威胁因素、脆弱性分析,从而评估贵公司信息安全风险,选择适当的措施、方法实现管理风险的目的。
第三阶段:管理策划
根据贵公司对信息安全风险的策略,制定相应信息安全整体规划、管理规划、技术规划等,形成完整的信息安全管理系统。
第四阶段:体系实施
ISMS建立起来(体系文件正式发布实施)之后,要通过一定时间的试运行来检验其有效性和稳定性。
第五阶段:认证审核
经过一定时间运行,ISMS达到一个稳定的状态,各项文档和记录已经建立完备,此时,可以提请进行认证。