(1)什么是ISO27001
與ISO9000標準類似,ISO27001:2005也是一種國際標準。ISO27001認證主要關注企業和組織的信息安全,它提供了一套綜合的、由信息安全最佳慣例組成的實施規則,其目的是作為確定工商業信息系統在大多數情況所需控制范圍的參考基準,并且適用于大、中、小組織。
(2)ISMS和ISO27001關系
ISMS(Information Security Management System)是信息安全管理系統英文縮寫,是依據IISO27001認證所規定11個控制域、133個控制點所制定的信息安全管理文檔體系。
ISMS文檔體系可以根據不同企業、組織的業務模式和IT基礎不同而有所不同。
(3)運營商為什么要進行ISMS體系建設
開展ISMS體系建設,可以在以下幾個方面提升運營商的核心競爭力
a)實現IT系統運維流程化、制度化、標準化;
b)有效開展IT系統安全運維KPI考核,提升IT系統安全運維水平;
c)減少可能潛在的風險隱患,減少信息系統故障、人員流失帶來的經濟損失;
d)強化員工的信息安全意識,規范組織信息安全行為;
e)在信息系統受到侵襲時,確保業務持續開展并將損失降到最低程度;
f)保護企業的知識產權、商標、競爭優勢;
g)維護企業的聲譽、品牌和客戶信任。
建設內容
2.1 ISMS文檔體系
ISMS安全體系建設嚴格按照ISO27001認證標準所規定的11個安全域的控制項和控制點進行。其中11個安全域包括:安全策略、信息安全組織、資產管理、人員安全、物理和環境安全、通信和操作管理、訪問控制、信息獲取開發和維護、信息安全事故管理、業務可持續性、符合性。
ISMS安全體系文檔總共由三個層次構成:
(1)一級文件:信息安全管理手冊
依據ISO/IEC27001:2005《信息安全管理體系要求》,結合企業自身的具體情況編寫而成。在信息安全管理手冊中將闡明組織的信息安全目標和方針,對信息安全管理體系做出概括性敘述,是組織對外實施信息安全保證、對內進行信息安全管理的綱領性文件。信息安全管理手冊所采用的條款與ISO/IEC27001:2005《信息安全管理體系要求》中的條款編寫一致,并結合組織的特點編寫了程序文件和記錄文件,形成了信息安全管理標準,使信息安全管理體系有章可循、有法可依。
(2)二級文件:程序及策略文件
程序及策略文件是針對信息安全各方面工作的,是對信息安全方針和策略內容的進一步落實,描述了某項信息安全任務具體的操作步驟和方法,是對標準中各個安全領域內工作的細化。主要包括資產管理、人員安全、信息設備管理程序、內部審核程序、外包服務管理程序、業務持續性、符合性等文件。
(3)三級文件:記錄文件
記錄文件是實施各項信息安全程序的記錄成果,通常表現為記錄表格,是ISMS得以持續運行的有力證據,由各個相關部門自行維護。
2.2 ISMS支持系統
為了更好宣貫、落實已經制定的ISMS文檔體系,需要建立與之配套的IT支持系統。主要包括:ISMS管理系統、機房和敏感區域出入管理系統。
(1)ISMS管理系統
可以通過在現有OA系統上增加一個版塊,形成ISMS管理體系模塊。該功能模塊主要解決ISMS文檔體系的版本管理、統一發布、分發反饋控制、文檔發布反饋、文檔作廢聲明等。
(2)機房和敏感區域出入管理系統
將ISMS文檔體系中關于機房出入管理的流程,采用OA電子工單方式實現申請、審批、開通權限的電子管理流程。
很多企業是基于以下原因或要求來實施ISO27001信息安全管理體系的:
1、客戶要求:
絕大部分跨國公司或大型企業為了專注于核心業務,會將其部分不占優勢的商業流程外包給專業公司來做(或自己成立獨立于核心業務的專業公司來做,屬于內部供方的概念,業務、財務等獨立核算),其首先關心的是質量和成本,然后就是外包方(供方)如何保證其信息和信息資產的安全,會明示或隱含要求其外包方建立和實施信息安全管理體系,甚至通過第三方的認證,目前這仍然是企業通過ISO27001第三方認證的主要原因。
2、監管要求:
很多企業由于是上市公司或準備上市,各國上市監管機構都有內控及合規性的要求,信息安全是內控的主要要求之一,尤其是美國、日本和歐洲,雖然沒有明確要求通過ISO27001的第三方認證,但是作為上市機構的相關組織通過第三方的認證更有說服力。
3、企業自身要求:
1)保護企業的知識產權、商標、商業流程、競爭優勢;
2)維護企業的聲譽、品牌和客戶信任;
3)減少可能潛在的風險隱患,減少信息系統故障、人員流失帶來的經濟損失;
4)強化員工的信息安全意識,規范組織信息安全行為;
5)在信息系統受到侵襲時,確保業務持續開展并將損失降到最低程度;
6)業務連續性(BCM)的要求。
