ISO27001信息安全管理體系作為信息安全管理領域的權威標準,經(jīng)過多年的實踐和優(yōu)化改進��,目前已是國際一致公認的輔助信息安全治理的手段和最佳指導���。ISO27001是一個通用型的國際標準�����,在金融行業(yè)���、制造業(yè)、航空運輸�����、互聯(lián)網(wǎng)行業(yè)等等各個領域都有良好的最佳實踐成功案例��。組織或企業(yè)或機構(gòu)�,都可以參考此標準構(gòu)建符合組織自身環(huán)境和需求的信息安全管理體系。山東世通國際認證有限公司是國家認監(jiān)委授權的ISO27001審核發(fā)證機構(gòu),有著多年的經(jīng)驗��,可為企業(yè)提供全方位的專業(yè)技術支持��,電話:400-675-8617
一��、ISO27001體系建設實施方法
項目的目標達成和預期收益����,是項目核心關注點。上圖示例的項目方法論��,是一套全面��、系統(tǒng)化的實施方法論����。從策略����、結(jié)構(gòu)、流程��、人員��、技術五個維度,導入標準�,實施優(yōu)化和變革。之后���,以運維變更管理為主軸���,實現(xiàn)持續(xù)運營。
我們都知道����,信息安全不是一次標準導入、一次評估審計整改�,就能達到預期目標和目的的。信息安全的建設����,需要一個良好的運作機制,實現(xiàn)持續(xù)運營��,持續(xù)改進���,以推進信息安全治理不斷達到新高度���。
二�����、ISO27001管理體系的框架
ISO組織于2013年9月26日�,推出了最新的版本ISO/IEC27001:2013信息安全管理體系標準��。標準的體系框架����,幾乎可以涵蓋目前所有的組織管理領域,即使是互聯(lián)網(wǎng)企業(yè)�,仍然適用。只不過�,部分域在某些組織或機構(gòu)中,比較薄弱而已���,例如:供應關系管理。
當然�����,云計算時代����,標準中的眾多管理已經(jīng)由云服務商實施落地了����,這種情況�����,我們更多關注的是檢查或?qū)徲嬙品⻊丈痰男畔踩闲浴?/SPAN>
三����、ISO27001導入及認證步驟
整體過程從戰(zhàn)略確定,到現(xiàn)狀評估和差異分析����,再到體系設計與建立,之后實施體系運行發(fā)布���,接著實行內(nèi)部審核和改進�,最后獲取認證�。需要特別說明一點的是,ISO27001信息安全管理體系認證���,每年都需要進行審核����,三年重新認證。
以上參考的標準和監(jiān)管要求�����,各個行業(yè)的要求各不相同���。金融行業(yè)的監(jiān)管要求就是非常豐富和嚴格�,需進行解讀匹配�。在標準和要求沖突時,以監(jiān)管要求�、本地標準優(yōu)先。如金融監(jiān)管要求的優(yōu)先級�����,要高于ISO標準要求����;互聯(lián)網(wǎng)行業(yè)注重敏捷、簡潔���、快速,需和ISO標準進行融合溝通�,達成一致����。
四����、PDCA持續(xù)改進理論
基于PDCA循環(huán)框架構(gòu)建信息安全管理體系,通過規(guī)劃�����、設計實施�����、監(jiān)控審計����、以及持續(xù)改進,保證體系運作的有效性和長效性��,真正實現(xiàn)信息安全的持續(xù)改進和優(yōu)化��,從而保障組織的業(yè)務安全��。
這也是一套通用的信息安全PDCA循環(huán)方法論�����。無論互聯(lián)網(wǎng)企業(yè),還是傳統(tǒng)的金融行業(yè)��,都可以采用這種方式���。
五���、總結(jié)
標準是固定不變的,但行業(yè)的最佳實踐各有各的不同���。因此����,ISO27001體系建設��,必須和組織自身情況相結(jié)合����,不能為了標準符合而限制業(yè)務。
好文要分享:
魯公網(wǎng)安備 37020602000060號
