ISO27001信息安全管理體系作為信息安全管理領域的權威標準���,經過多年的實踐和優(yōu)化改進��,目前已是國際一致公認的輔助信息安全治理的手段和最佳指導���。ISO27001是一個通用型的國際標準,在金融行業(yè)����、制造業(yè)、航空運輸����、互聯網行業(yè)等等各個領域都有良好的最佳實踐成功案例。組織或企業(yè)或機構�����,都可以參考此標準構建符合組織自身環(huán)境和需求的信息安全管理體系。山東世通國際認證有限公司是國家認監(jiān)委授權的ISO27001審核發(fā)證機構�����,有著多年的經驗���,可為企業(yè)提供全方位的專業(yè)技術支持��,電話:400-675-8617
一�����、ISO27001體系建設實施方法
項目的目標達成和預期收益���,是項目核心關注點。上圖示例的項目方法論���,是一套全面、系統(tǒng)化的實施方法論���。從策略�����、結構��、流程��、人員�、技術五個維度,導入標準���,實施優(yōu)化和變革���。之后,以運維變更管理為主軸���,實現持續(xù)運營�����。
我們都知道��,信息安全不是一次標準導入���、一次評估審計整改,就能達到預期目標和目的的。信息安全的建設�����,需要一個良好的運作機制�,實現持續(xù)運營,持續(xù)改進����,以推進信息安全治理不斷達到新高度。
二�、ISO27001管理體系的框架
ISO組織于2013年9月26日,推出了最新的版本ISO/IEC27001:2013信息安全管理體系標準��。標準的體系框架�����,幾乎可以涵蓋目前所有的組織管理領域����,即使是互聯網企業(yè),仍然適用���。只不過,部分域在某些組織或機構中��,比較薄弱而已,例如:供應關系管理��。
當然�����,云計算時代��,標準中的眾多管理已經由云服務商實施落地了�,這種情況,我們更多關注的是檢查或審計云服務商的信息安全符合性�。
三、ISO27001導入及認證步驟
整體過程從戰(zhàn)略確定�����,到現狀評估和差異分析�,再到體系設計與建立,之后實施體系運行發(fā)布���,接著實行內部審核和改進�,最后獲取認證��。需要特別說明一點的是,ISO27001信息安全管理體系認證�,每年都需要進行審核,三年重新認證���。
以上參考的標準和監(jiān)管要求��,各個行業(yè)的要求各不相同����。金融行業(yè)的監(jiān)管要求就是非常豐富和嚴格��,需進行解讀匹配��。在標準和要求沖突時�,以監(jiān)管要求、本地標準優(yōu)先��。如金融監(jiān)管要求的優(yōu)先級���,要高于ISO標準要求�;互聯網行業(yè)注重敏捷��、簡潔�����、快速,需和ISO標準進行融合溝通��,達成一致��。
四���、PDCA持續(xù)改進理論
基于PDCA循環(huán)框架構建信息安全管理體系,通過規(guī)劃���、設計實施��、監(jiān)控審計���、以及持續(xù)改進,保證體系運作的有效性和長效性���,真正實現信息安全的持續(xù)改進和優(yōu)化�,從而保障組織的業(yè)務安全�����。
這也是一套通用的信息安全PDCA循環(huán)方法論。無論互聯網企業(yè)����,還是傳統(tǒng)的金融行業(yè),都可以采用這種方式��。
五����、總結
標準是固定不變的,但行業(yè)的最佳實踐各有各的不同����。因此,ISO27001體系建設���,必須和組織自身情況相結合����,不能為了標準符合而限制業(yè)務��。
好文要分享:
魯公網安備 37020602000060號
