“安全之剑”十年磨成
信息安全管理体系经过十多年的发展,目前已经形成了一个完整的标准系列(ISO 27000 标准簇),其中最为重要的 ISO 27001,已经被我国标准化管理部门采用。ISO 27001,其前身是由英国标准协会(BSI)于 1995 年提出的,该标准说明了信息安全管理体系建立、实施和文件化的要求,是纲领性文件。
ISO 27001 是目前国际上最为通行的信息安全管理体系指导标准和最佳实践, 通过 ISO 27001认证已经成为了国内同行竞相提升竞争力的证明。ISO 27001 将持续改进(PDCA)的经典管理模型融入信息安全管理的领域之中,其特征是将信息安全管理与企业的业务相联系,形成以业务为目标的信息安全管理体系。ISO 27001 强调信息安全管理体系的有效性、经济性、全面性、普遍性和开放性,目的是为企业提供一种高质量、高实用性的参照。
建立符合 ISO 27001 标准的信息安全管理体系的最大优势在于:首先,由于体系的建设以业务为导向,因此体系中的一切活动都符合企业业务发展需要;其次,体系的建设和运行是围绕信息资产展开的,通过识别资产、识别威胁、弥补弱点、控制风险,最终实现对信息资产的 C、I、A三性的保障;第三,ISO 27001 标准覆盖了信息安全管理活动的 11 个控制域,确保了符合标准的体系能够切实保障企业每一方面的安全。
能让企业获益多多
依据 ISO 27001 标准进行信息安全管理体系建设,是当前各企业在推动信息安全保护方面最普遍的思路和决策。ISO 27001 标准所要求建立的四级文件体系(方针/策略、程序文件/规定、操作指南/工作手册、计划/记录/报告)将信息安全管理工作的全过程以文件形式完整地展现出来,不仅便于管理和展示,而且能够确保最终形成的管理机制是一个动态的、不断优化的、不断改进的体系。
通过建设 ISO 27001 建立的信息安全管理体系,可在以下几方面获益:
符合外部监管要求。通过信息安全管理体系建设,可以将各级监管部门所发布的规定融入企业自身的管理和技术中去,例如“商业银行信息科技风险管理指引”及“等级保护”等。与此同时,在企业合规经营已成为全球话题的大背景下,满足国家和行业对企业提出的合规要求,有助于树立企业正面形象,避免法律风险。
增强竞争力。截至 2010 年1 月,全球共有 6099 家企业通过了 ISO 27001 的认证,其中我国有 251 家,而在半年之前,这两个数字还分别是 5693 和 199。从通过 ISO 27001 认证的企业数量的快速增长中,我们可以看到各类企业对获得 ISO 27001 认证有着很高的积极性,通过认证无疑能够让公众、合作伙伴和客户增加对企业信息安全管理能力的认同。
毋庸置疑,通过建设 ISO 27001 信息安全管理体系可以加快企业提高信息科技风险管理的水平,促进信息安全管理工作的规范化、制度化和标准化。尤其是银行业如果在体系建设时充分融入“商业银行信息科技风险管理指引”和“等级保护”的要点,那么必将能建立起一个既符合国际标准又满足国家监管要求的信息安全管理体系。
转播
分享
淘帖
()
