信息安全管理体系的必要性
随着信息技术的高速发展,Internet的问世及网上各种应用的普及,信息安全问题日显。系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部数据的泄露等等,这些安全问题已给组织的经营、管理和生存带来了严重的影响。如何确保企业信息系统的安全已成为全社会关注的问题。
ISO27001信息安全管理体系是目前国际上的信息安全整体解决方案。它以组织风险评估为基石,运用PDCA过程方法和SOA中的信息安全控制措施来帮助组织解决信息安全问题,实现信息安全目标。
新要求:ISO 27001:2005原本有11个领域(domain)、133项控制措施,新版DIS目前调整为14个领域(A.5-A.18)、113个控制措施(未来仍可能有改动)。新增的领域是将原分散在各领域中的部分控制目标级别提升,组成新领域,如加密与供应链管理因其重要性而被立出来成为新领域;或是将原有领域分拆,如将通讯与作业管理分开成两个立的领域,以反映目前信息安全的发展趋势。而控制措施的减少则是通过合并重复的项目来进行,像变更管理在不同的领域中有重复就予以合并。也有新增的控制项目比如对智能型装置的管理、强化ICT供应链的委外管理、以及系统开发项目管理的信息安全要求等。
信息安全管理体系
Information Security Management Systems信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合。
模式应用
PDCA简介
计划(Plan)——根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施;
实施(Do)——实施所选的安全控制措施;
检查(Check)——依据策略、程序、标准和法律法规,对安全措施的实施情况进行符合性检查。 [2]
改进(Action)——根据ISMS审核、管理评审的结果及其他相关信息,采取纠正和预防措施,实现ISMS
的持继改进。
深圳市力嘉企业咨询管理有限公司为全国各地的企业申报:ISO27001信息安全管理体系、ISO20000信息技术服务管理体系