长河 发表于 2010-12-20 20:19:40

ISO27001:信息安全管理最佳实践


张俊胡亦恩

信息安全发展至今,人们越来越认识到安全管理在整个企业运营管理中的重要性,而作为信息安全管理方面最著名的国际标准——ISO 27001,目前正迅速被全球所接受。依据 ISO 27001 标准进行信息安全管理体系建设,是当前世界各国知名企业在推动信息安全保护方面最普遍的思路和决策。

随着计算机技术和互联网的发展和成熟,信息化迅速深入到人们的工作和生活之中。可无处不在的信息技术在提供方便的同时也孕育着无处不在的风险。计算机病毒、黑客入侵、个人存储信息失窃等伴随着信息化干扰着人们的日常生活,也给金融业信息化建设造成重大威胁。

那么怎样才能通过流程化、体系化的管理来保障金融业信息化建设的安全呢?作为国际标准,目前 ISO 27001 正迅速被全球知名企业所接受。

信息安全三分技术七分管理
信息安全,按照国际标准化组织所提出的概念,就是要保证其“保密性(C)” 、 “完整性(I)”和“可用性(A)” ,通俗地讲,就是要保护信息免受来自各方面的威胁,从而确保一个企业的可持续发展。

当前,由于企业对于信息科技的依赖性不断增长,使得企业所面对的风险变得愈加复杂,病毒木马、非法入侵、数据泄密、服务瘫痪、漏洞攻击等安全事件时有发生,每一项新技术、新产品的推广都伴随着新风险,最终导致企业面临的威胁日趋复杂、遭受的攻击次数也日益增多。对于信息安全,在初期,人们依靠信息安全技术和相关产品在一定程度上解决了部分问题,但是一些成熟的企业很快发现仅仅靠这些技术和产品还远远不够,即使采购和使用了足够先进、足够多的信息安全产品,仍然无法避免一些信息安全事件的发生,企业所安装的许多信息安全产品实际上成了“聋子的耳朵” ,无法发挥其应有的作用。此外,我们还可以看到,与人员相关的安全、信息安全成本和效益的平衡、业务连续性等问题,依靠纯粹的技术和产品也解决不了。鉴于此,只有在技术和产品的基础上,配合相适应的管理手段,才能以合理的投入控制住大部分风险,实现企业信息安全的有效保障。于是“三分技术、七分管理”的概念被提出并被广泛接受,并进一步促进了信息安全管理体系的出现。

“安全之剑”十年磨成
信息安全管理体系经过十多年的发展,目前已经形成了一个完整的标准系列(ISO 27000 标准簇),其中最为重要的 ISO 27001,已经被我国标准化管理部门采用。ISO 27001,其前身是由英国标准协会(BSI)于 1995 年提出的,该标准说明了信息安全管理体系建立、实施和文件化的要求,是纲领性文件。

   ISO 27001 是目前国际上最为通行的信息安全管理体系指导标准和最佳实践, 通过 ISO 27001认证已经成为了国内同行竞相提升竞争力的证明。ISO 27001 将持续改进(PDCA)的经典管理模型融入信息安全管理的领域之中,其特征是将信息安全管理与企业的业务相联系,形成以业务为目标的信息安全管理体系。ISO 27001 强调信息安全管理体系的有效性、经济性、全面性、普遍性和开放性,目的是为企业提供一种高质量、高实用性的参照。

建立符合 ISO 27001 标准的信息安全管理体系的最大优势在于:首先,由于体系的建设以业务为导向,因此体系中的一切活动都符合企业业务发展需要;其次,体系的建设和运行是围绕信息资产展开的,通过识别资产、识别威胁、弥补弱点、控制风险,最终实现对信息资产的 C、I、A三性的保障;第三,ISO 27001 标准覆盖了信息安全管理活动的 11 个控制域,确保了符合标准的体系能够切实保障企业每一方面的安全。

能让企业获益多多
依据 ISO 27001 标准进行信息安全管理体系建设,是当前各企业在推动信息安全保护方面最普遍的思路和决策。ISO 27001 标准所要求建立的四级文件体系(方针/策略、程序文件/规定、操作指南/工作手册、计划/记录/报告)将信息安全管理工作的全过程以文件形式完整地展现出来,不仅便于管理和展示,而且能够确保最终形成的管理机制是一个动态的、不断优化的、不断改进的体系。

通过建设 ISO 27001 建立的信息安全管理体系,可在以下几方面获益:
符合外部监管要求。通过信息安全管理体系建设,可以将各级监管部门所发布的规定融入企业自身的管理和技术中去,例如“商业银行信息科技风险管理指引”及“等级保护”等。与此同时,在企业合规经营已成为全球话题的大背景下,满足国家和行业对企业提出的合规要求,有助于树立企业正面形象,避免法律风险。

推动内部发展。通过信息安全管理体系的建设,除了在运维方面可以实现流程化、文件化外,还能弥补风险控制和安全保障方面所存在的不足, 主要表现在以下几方面:促使信息安全管理工作以风险为核心,落实预防为主的信息安全管理思想;结合等级保护对信息资产进行细化分类和分级保护,明确信息资产管理职责;促使各部门积极参与信息安全管理,提高信息安全专业工作人员的技能;提升员工安全意识,使其理解信息安全相关工作的重要性和强制性;提高对在数据交换、业务分包、服务支持过程中可能引入的第三方风险的认识;主动应对来自监管机构、业务主管部门和外部独立审计机构的检查和审计。

增强竞争力。截至 2010 年1 月,全球共有 6099 家企业通过了 ISO 27001 的认证,其中我国有 251 家,而在半年之前,这两个数字还分别是 5693 和 199。从通过 ISO 27001 认证的企业数量的快速增长中,我们可以看到各类企业对获得 ISO 27001 认证有着很高的积极性,通过认证无疑能够让公众、合作伙伴和客户增加对企业信息安全管理能力的认同。

毋庸置疑,通过建设 ISO 27001 信息安全管理体系可以加快企业提高信息科技风险管理的水平,促进信息安全管理工作的规范化、制度化和标准化。尤其是银行业如果在体系建设时充分融入“商业银行信息科技风险管理指引”和“等级保护”的要点,那么必将能建立起一个既符合国际标准又满足国家监管要求的信息安全管理体系。

bs15000 发表于 2010-12-21 16:02:26

谢谢分享

sunsun 发表于 2011-3-1 14:49:36

:)谢谢分享~!

NEAL 发表于 2012-3-29 10:36:13

谢谢

superray 发表于 2012-4-27 00:51:59

上当了。
页: [1] 2
查看完整版本: ISO27001:信息安全管理最佳实践