企業(yè)進(jìn)行ISO27001認(rèn)證的必要性
添加時(shí)間:2014-06-19 19:17:27
“信息”作為一種重要的商業(yè)資產(chǎn),其所擁有的價(jià)值對于一個(gè)組織而言毋庸置疑���,重要性也是與日俱增�����。信息安全���,按照國際標(biāo)準(zhǔn)化組織提出的ISO/IEC 27000中的概念,需要保證信息的“保密性”�、“完整性”和“可用性”。通俗地講�����,就是要保護(hù)信息免受來自各方面的威脅��,從而確保一個(gè)組織或機(jī)構(gòu)可持續(xù)發(fā)展����。
企業(yè)面臨的問題
組織對于信息系統(tǒng)依賴性不斷增長����,以及在信息系統(tǒng)上運(yùn)作業(yè)務(wù)的風(fēng)險(xiǎn)�,使得信息安全越來越得到重視�。
然而事實(shí)上,目前組織所面對的信息安全狀況愈加復(fù)雜����。病毒木馬、非法入侵��、數(shù)據(jù)泄密���、服務(wù)癱瘓��、漏洞攻擊等安全事件時(shí)有發(fā)生��。從便攜設(shè)備到可移動(dòng)存儲���,再到智能手機(jī)、PDA���,以及無線網(wǎng)絡(luò)等�,安全問題出現(xiàn)的途徑也是千奇百怪�。每一項(xiàng)新技術(shù),每一類新產(chǎn)品的推廣伴隨著新的問題��。組織在面臨著日趨復(fù)雜的威脅的同時(shí),遭受的攻擊次數(shù)也日益增多��。
正因?yàn)槿绱?�,信息安全管理體系標(biāo)準(zhǔn)(ISO/IEC27000)的出現(xiàn)成為歷史必要�,該標(biāo)準(zhǔn)經(jīng)過十多年的發(fā)展,已經(jīng)形成了一個(gè)完整規(guī)范的體系���。對組織而言�����,建立信息安全管理體系��,是一個(gè)非常系統(tǒng)的過程�,從資產(chǎn)評估�����、風(fēng)險(xiǎn)分析��、引入控制到后期的改進(jìn)�,呈現(xiàn)出一個(gè)非常邏輯的架構(gòu)。
調(diào)查顯示����,企業(yè)高管普遍面對的問題是:“我們很清楚的知道內(nèi)部的安全風(fēng)險(xiǎn)問題,可是我們不知道怎么去識別并規(guī)避風(fēng)險(xiǎn)��。”
信息安全管理體系的建立和健全�����,目的就是降低信息風(fēng)險(xiǎn)對經(jīng)營帶來的危害�,并將其投資和商業(yè)利益最大化。
信息安全管理體系標(biāo)準(zhǔn)
2005年改版后的ISO/IEC 27001共有133個(gè)控制點(diǎn)�,39個(gè)控制措施,11個(gè)控制域���。其中11個(gè)控制域包括:
1)安全策略
2)信息安全的組織
3)資產(chǎn)管理
4)人力資源安全
5)物理和環(huán)境安全
6)通信和操作管理
7)訪問控制
8)系統(tǒng)采集��、開發(fā)和維護(hù)
9)信息安全事故管理
10)業(yè)務(wù)連續(xù)性管理
11)符合性
可見��,信息安全不僅僅是個(gè)技術(shù)問題����,而是管理����、章程���、制度和技術(shù)手段以及各種系統(tǒng)的結(jié)合。實(shí)現(xiàn)信息安全不僅需要采用技術(shù)措施�����,還需要借助于技術(shù)以外的其它手段���,如規(guī)范安全標(biāo)準(zhǔn)和進(jìn)行信息安全管理���。
因此,組織在選擇合作伙伴的時(shí)候�,就該找那種理解需求、真正能幫助解決問題的��,只有那種有著多年的咨詢和項(xiàng)目經(jīng)驗(yàn)����、豐富的服務(wù)和產(chǎn)品的公司,才夠格成為可信任的伙伴�。
解決方案
參照ISO/IEC 27001,總結(jié)出了完整的信息安全模型�����。依據(jù)模型,組織可以得到一個(gè)細(xì)致的流程��,再也不用摸黑走路�����。
通過咨詢����,為客戶提供高端的信息安全咨詢與評估服務(wù)���,識別出信息資產(chǎn)以及存在的風(fēng)險(xiǎn)��,找出所存在的問題和深層次的需求��,以便明確后續(xù)應(yīng)采取什么行動(dòng)去解決問題��。
可以采用相關(guān)安全產(chǎn)品���,能保護(hù)組織的任意區(qū)域,如移動(dòng)用戶�、遠(yuǎn)程分支、內(nèi)部網(wǎng)絡(luò)、很難管理的桌面和服務(wù)器����、個(gè)人的行為狀況等。具有完善的功能模塊�,有防火墻、VPN����、IPS/IDS、內(nèi)容過濾�����、網(wǎng)絡(luò)行為管理等����。利用這些功能模塊,組織能全局有效地管理安全����,并跨系統(tǒng)、平臺和區(qū)域?qū)嵤┮恢碌牟呗浴?br />
委托運(yùn)營�,針對一些自我管理和技術(shù)能力不強(qiáng)的組織,委托運(yùn)營是其最佳選擇�����。組織不再被具體的細(xì)節(jié)拖入泥沼中,只需提出問題和希望的結(jié)果��,所有的中間過程都由委托承擔(dān)者完成����。
后續(xù)服務(wù),安全管理的實(shí)現(xiàn)肯定是個(gè)長期的過程��,那種完成項(xiàng)目就開溜的做法�����,對組織來說是種災(zāi)難��。只有通過后續(xù)的服務(wù)�,不斷地改進(jìn)�����,不斷地發(fā)現(xiàn)新問題��,才能推動(dòng)目標(biāo)不斷地前進(jìn)�����。
總之,我們欣喜的看到�����,國內(nèi)組織通過積極努力�,探索尋求整體解決方案,增強(qiáng)了組織主動(dòng)管理其信息安全的能力�,降低組織信息所面臨的風(fēng)險(xiǎn)。
結(jié)語
建立信息安全管理體系并獲得認(rèn)證����,能提高組織自身的安全管理水平,將組織的安全風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)��,減少因安全事件帶來的破壞和損失���。更重要的���,是可以保證組織業(yè)務(wù)的持續(xù)性。
另一方面����,合作在如今的商業(yè)社會是非常普遍����。如果組織能向客戶及利益相關(guān)方展示對信息安全的承諾�,不但能增強(qiáng)合作伙伴、投資方的信心���,也可以向政府及行業(yè)主管部門證明對相關(guān)法律法規(guī)的符合�����,并能得到國際上的認(rèn)可��。
