ISO/IEC27001信息安全管理体系,即Information Security Management System(简称ISMS)
信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分:
BS7799-1,信息安全管理实施规则
BS7799-2,信息安全管理体系规范。
第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;
第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
推行ISO/IEC27001信息安全管理体系有什么好处
1. 建立贯穿整个供应链的信息安全系统,最大限度减少企业危机;
2. 促使管理层坚持贯彻信息安全保障体系;
3. 对组织的关键信息资产进行全面系统的保护,维持竞争优势;
4. 在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;
5. 时间与资源的利用最大化;
6. 使组织的生意伙伴和客户对组织充满信心;
7. 建立一套完整的信息安全管理体系,在人员参与的过程中建立起所有使用者对信息安全的认同感及警觉意识的提高,强化员工的信息安全意识,规范组织信息安全行为,降低信息安全事件对信息的冲击及发生的机率,大大提升内部信息安全等级;
8. 公众形象及社会关系:如果通过 BS7799/ISO27001 信息安全管理体系认证,表明体系符合标准,证明组织有能力保障重要信息,它所产生的信息以及对它给予的关注都将有助于公司与相关方之间建立良好的联系并得到他们的认同,提高组织的知名度与信任度;
9.
市场准入:ISO/IEC27001可能成为贸易的一个先决条件。公司可以把国际标准作为实现预期商业目标的途径之一。顾客们可能会要求他们的供应商达到特定的信息安全管理目标并拥有ISO/IEC27001认证,以确保信息安全目标的实现;
10.财政市场:拥有一个国际认可的、恰当的信息安全管理体系将提高投资者对资本的信心以及对资本投入,同时将为得到的优惠的保险率提供了潜在的渠道。
推行ISO/IEC27001信息安全管理体系的主要任务
1. 企业信息安全现状的调研评估:全面、准确地了解公司的信息安全现状;
2. 信息资产的识别与安全风险的评估:量化分析公司的信息安全风险;
3. 建立安全策略及管理体系:结合国际国内的最佳实践,制定公司信息安全体系建设规划并编写有关技术建议方案和制度策略,为安全体系建设提供保障和指导;
4. 促进安全策略落实与实施:协助通过引入先进的漏洞扫描系统提高现有 IT 系统的安全性;
5. 信息安全内部审计师/审核员的培训及审计实施;
6. 识别影响业务连续性的风险,制定 BCP(业务连续性计划)/DRP(灾难恢复计划);
7. 知识转移:向组织培训并提供一系列国际先进的标准及优秀的参考模型、辅助工具以及技术落实手段,帮助企业内部建立真正懂得信息安全的专家级人员团队;
8. 项目推进:建立顺畅的沟通渠道,从而保证项目按时按质完成 。