随着以计算机和网络通信为代表的信息技术的迅猛发展,信息的保护及防范信息的损坏和泄露成为当前企业迫切需要解决的问题。许多信息系统本身并不是按照安全系统的要求来设计的,仅依靠技术手段来实现信息安全有其局限性。我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障企业的信息系统与业务的安全与正常运作。
ISO27001信息安全管理体系是企业按照信息安全管理体系相关标准的要求,制定信息安全管理方针和策略,采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。
什么是ISO27001信息安全管理体系?
信息安全管理体系Information Security Management System,简称ISMS,按照ISO/IEC 27001标准《信息技术 安全技术 信息安全管理体系要求》进行建立实施。
该标准提供建立、实现、维护和持续改进信息安全管理体系的要求,并且有根据组织需求所裁剪的信息安全风险评估和处置的要求。ISO27001信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制的设计中要考虑到信息安全。期望的是,信息安全管理体系的实现程度要与企业的需求相符合。
ISO27001信息安全管理体系不仅可以在信息安全事故发生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重要的是ISO27001认证信息安全管理体系能够预防和避免大多数的信息安全事件的发生。
ISO27001信息安全管理体系适用于哪些组织?
信息安全对每个企业或组织来说都是需要的,所以ISO27001信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从获得认证的企业情况看,较多的是涉及以下几个行业:
1、银行、证券、保险等金融机构;
2、交通、能源等大型国有企业;
3、互联网数据中心(IDC)服务提供商;
4、软件和信息技术服务企业;
5、公共管理、社会保障和社会组织等。
获取ISO27001信息安全管理体系认证的好处
1、符合法律法规要求
可以向权威机构表明,企业遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。
2、维护企业的声誉、品牌和客户信任
可以增进企业间电子商务往来的信用度,建立起贸易伙伴之间的互相信任,随着企业间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益。
3、履行信息安全管理责任
证书的获得本身就能证明企业在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。
4、增强员工的意识、责任感和相关技能
强化企业员工的信息安全意识,规范企业信息安全行为,减少人为原因造成的不必要的损失。
5、保持业务持续发展和竞争优势
全面的ISO27001信息安全管理体系的建立,意味着企业核心业务所赖以持续的各项信息资产得到了妥善保护,并建立有效的业务持续性计划框架,提升了企业的核心竞争力。
6、实现风险管理
有助于更好地了解信息系统,并找到存在的问题及保护的办法,保证企业自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。
7、减少损失,降低成本
ISMS的实施,能降低因为潜在安全事件发生而给企业带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到最低程度。
取得ISO27001信息安全管理体系认证的效益
1、通过定义、评估和控制风险,确保经营的持续性和能力;
2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任;
3、通过遵守国际标准提高企业竞争能力,提升企业形象;
4、明确定义企业的内部和外部的信息接口目标:谨防数据的误用和丢失;
5、建立安全工具使用方针;
6、谨防核心技术的丢失;
7、在企业内部增强安全意识;
8、可作为公共会计审计的证据。
ISO27001信息安全管理体系认证的要求
申请认证的企业需要已按认证依据要求建立并运行信息安全管理体系三个月以上,且符合以下条件:
1、取得国家工商行政管理部门或有关机构注册登记的法人资格(或其组成部分);
2、已取得相关法规规定的行政许可(适用时);
3、认证范围涉及为政府部门提供信息技术外包服务的机构或组织若其认证范围涉及政府信息,须提供经工业和信息化主管部门同意的通知文件方可受理;
4、通信、金融、铁路、民航、电力等基础信息网络和重要信息系统运营单位应提交事先报行业主管或监管部门同意的文件,其他涉及国计民生的国有企业提交事先报国有资产监督管理部门同意的文件,涉及国家秘密的应提交报保密行政管理部门同意的文件。
申请ISO27001信息安全管理体系认证组织需要提交的基本资料有:
1、申请认证的企业名称、注册地址、经营地址、通讯地址及邮编、联系人、职务、联系方式;
2、认证类型;
3、认证依据;
4、体系覆盖的人数;
5、根据业务、组织、位置、资产和技术等方面的特性所确定的ISMS的范围和边界,包括对任何范围、删减的详细说明和正当性理由;
6、经营场所、分场所、临时场所以及各场所从事的活动等;
7、服务器数量、终端数量、用户的数量;
8、适用性声明、资产列表;
9、保密协议、信息安全敏感区域的声明;
10、提供咨询服务机构和人员信息;
11、关于认证活动的限制条件(如出于安全和/或保密等原因,存在时)。
除此以外,申请ISO27001信息安全管理体系认证的企业还需提交一些辅助资料,如支持信息安全管理体系的规程和控制措施;风险评估报告(含风险评估方法的描述)等。
ISO27001信息安全管理体系认证的审核费用及周期
认证机构的报价通常是根据其投入的时间和人员来确定的,决定因素包括:
1、受审核企业的员工数量;
2、纳入审核范围的信息量;
3、场所数量;
4、企业与外界的关联;
5、企业 IT 的复杂性;
6、企业类型和业务性质等。
除去费用问题,认证审核的周期通常也是企业比较关心的。一般来说,从企业启动 ISMS建设项目开始,到最终通过审核约1-4个月(根据企业配合情况及排审情况而定)。对于很多因为外部驱动力而决心实施 ISO27001 认证项目的企业来说,提早进行规划是必要的。
ISO27001信息安全管理体系认证证书的有效期
ISO27001信息安全管理体系的认证证书有效期是三年,期间每年要接受发证机构的监督审核(也称为:年检或年审),三年证书到期后,要接受认证机构的再认证(也称为复评或换证)。
来源:壹鑫管理