(1)什么是ISO27001
与ISO9000标准类似,ISO27001:2005也是一种国际标准。ISO27001认证主要关注企业和组织的信息安全,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准,并且适用于大、中、小组织。
(2)ISMS和ISO27001关系
ISMS(Information Security Management System)是信息安全管理系统英文缩写,是依据IISO27001认证所规定11个控制域、133个控制点所制定的信息安全管理文档体系。
ISMS文档体系可以根据不同企业、组织的业务模式和IT基础不同而有所不同。
(3)运营商为什么要进行ISMS体系建设
开展ISMS体系建设,可以在以下几个方面提升运营商的核心竞争力
a)实现IT系统运维流程化、制度化、标准化;
b)有效开展IT系统安全运维KPI考核,提升IT系统安全运维水平;
c)减少可能潜在的风险隐患,减少信息系统故障、人员流失带来的经济损失;
d)强化员工的信息安全意识,规范组织信息安全行为;
e)在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;
f)保护企业的知识产权、商标、竞争优势;
g)维护企业的声誉、品牌和客户信任。
建设内容
2.1 ISMS文档体系
ISMS安全体系建设严格按照ISO27001认证标准所规定的11个安全域的控制项和控制点进行。其中11个安全域包括:安全策略、信息安全组织、资产管理、人员安全、物理和环境安全、通信和操作管理、访问控制、信息获取开发和维护、信息安全事故管理、业务可持续性、符合性。
ISMS安全体系文档总共由三个层次构成:
(1)一级文件:信息安全管理手册
依据ISO/IEC27001:2005《信息安全管理体系要求》,结合企业自身的具体情况编写而成。在信息安全管理手册中将阐明组织的信息安全目标和方针,对信息安全管理体系做出概括性叙述,是组织对外实施信息安全保证、对内进行信息安全管理的纲领性文件。信息安全管理手册所采用的条款与ISO/IEC27001:2005《信息安全管理体系要求》中的条款编写一致,并结合组织的特点编写了程序文件和记录文件,形成了信息安全管理标准,使信息安全管理体系有章可循、有法可依。
(2)二级文件:程序及策略文件
程序及策略文件是针对信息安全各方面工作的,是对信息安全方针和策略内容的进一步落实,描述了某项信息安全任务具体的操作步骤和方法,是对标准中各个安全领域内工作的细化。主要包括资产管理、人员安全、信息设备管理程序、内部审核程序、外包服务管理程序、业务持续性、符合性等文件。
(3)三级文件:记录文件
记录文件是实施各项信息安全程序的记录成果,通常表现为记录表格,是ISMS得以持续运行的有力证据,由各个相关部门自行维护。
2.2 ISMS支持系统
为了更好宣贯、落实已经制定的ISMS文档体系,需要建立与之配套的IT支持系统。主要包括:ISMS管理系统、机房和敏感区域出入管理系统。
(1)ISMS管理系统
可以通过在现有OA系统上增加一个版块,形成ISMS管理体系模块。该功能模块主要解决ISMS文档体系的版本管理、统一发布、分发反馈控制、文档发布反馈、文档作废声明等。
(2)机房和敏感区域出入管理系统
将ISMS文档体系中关于机房出入管理的流程,采用OA电子工单方式实现申请、审批、开通权限的电子管理流程。
很多企业是基于以下原因或要求来实施ISO27001信息安全管理体系的:
1、客户要求:
绝大部分跨国公司或大型企业为了专注于核心业务,会将其部分不占优势的商业流程外包给专业公司来做(或自己成立独立于核心业务的专业公司来做,属于内部供方的概念,业务、财务等独立核算),其首先关心的是质量和成本,然后就是外包方(供方)如何保证其信息和信息资产的安全,会明示或隐含要求其外包方建立和实施信息安全管理体系,甚至通过第三方的认证,目前这仍然是企业通过ISO27001第三方认证的主要原因。
2、监管要求:
很多企业由于是上市公司或准备上市,各国上市监管机构都有内控及合规性的要求,信息安全是内控的主要要求之一,尤其是美国、日本和欧洲,虽然没有明确要求通过ISO27001的第三方认证,但是作为上市机构的相关组织通过第三方的认证更有说服力。
3、企业自身要求:
1)保护企业的知识产权、商标、商业流程、竞争优势;
2)维护企业的声誉、品牌和客户信任;
3)减少可能潜在的风险隐患,减少信息系统故障、人员流失带来的经济损失;
4)强化员工的信息安全意识,规范组织信息安全行为;
5)在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;
6)业务连续性(BCM)的要求。
