文章插圖

文章插圖
隨著信息化水平的不斷提高，信息本身的價值越來越高，信息安全風險始終存在，同時由于諸如敏感信息泄露、網絡非法劫持、核心系統宕機等信息安全事件時有發生，國家出臺了如《中華人民共和國網絡安全法》、《互聯網個人信息安全保護指南》、《加強工業互聯網安全工作的指導意見》、《中華人民共和國密碼法》、《電信和互聯網行業提升網絡數據安全保護能力專項行動方案》等意見法規文件，對企業實施信息安全管理提出了更高的要求 。實施信息安全管理體系（ISO27001）并通過第三方認證，重要性日漸凸顯 。
文之后將圍繞體系標準介紹、標準實施收益、如何通過信息安全管理體系認證三個方面，給大家做簡要介紹 。
1、信息安全管理體系標準介紹
信息安全管理體系（Information Security Management System，簡稱ISMS）的概念最初來源于英國標準學會制定的BS7799-1：1995《信息安全管理實施細則》 。2002年，英國標準學會發布了BS7799-2：2002《信息安全管理體系規范》，2005年10月，該規范通過了國際標準化組織ISO的認可，正式成為國際標準，被廣泛接受 。這套標準是建立信息安全管理體系的一套需求規范，其中詳細說明了建立、實施和維護信息安全管理體系的要求，指出實施機構應該遵循的風險評估標準 。
目前現行的ISO27001：2013標準于2013年10月19日由國際標準化組織（ISO）正式頒布實施 。
2、通過信息安全管理體系認證的收益
組織實施信息安全管理體系，通過ISO27001標準認證，表示企業已經建立了一套科學有效的體系作為保障，為企業帶來全面的價值提升，包括但不限于以下五個方面:
提高企業品牌形象 。企業實施信息安全管理體系并通過第三方認證機構相關認證，能向公眾和外部客戶展示自身的管理水平，能向外部證明自身管理能力符合相關信息安全標準及相關法律法規的要求，體現企業較于同業企業的競爭優勢 。
獲取政府財務支持 。為相應國家相關行業政策，推進區域企業高質量發展，鼓勵企業提升自身信息安全管理能力，各地主管部門對本地區通過第三方認證的企業有不同的財務補貼政策 。
其他資質前提條件 。目前有許多IT行業內通用的證書如業務連續性管理體系（ISO22301）、 云服務信息安全管理體系、（ISO27017）云隱私保護體系、（ISO27018）隱私信息安全管理體系（ISO27701）、個人身份信息保護管理體系（ISO21951）、國際云安全認證（C-STAR）等，在申報這些認證證書時，申報企業需要提前建立ISO27001管理體系并通過第三方認證 。
提高企業信息安全管理能力通過實施ISO27001，按照PDCA模型建立信息安全管理自我約束機制，有助于企業識別信息安全風險并加改進規避，減少可能存在的安全隱患，降低潛在安全事件發生給企業帶來的損失，規范企業各個部門各個崗位的職責，提升員工信息安全意識，不斷改善，有效預防，最終實現組織的良性發展 。
滿足市場準入需求 。各類體系認證證書是IT行業招投標的敲門磚，不同證書在不同的投標標的會有不同的分數占比 。部分項目標的甚至明確要求ISO27001認證證書作為準入門檻 。
3、如何通過ISO27001體系認證
我們以ISO/IEC27001標準為指導，結合信息安全體系認證優秀實踐，充分考慮國內企業的信息安全管理現狀，總結歸納出適宜電子信息行業快速通過ISO27001認證的六大流程：
差距分析：從人員、環境、技術、管理四個方面對企業進行評估調研，發掘組織信息安全需求，分析與標準之間差距，明確體系實施的目標、范圍和要點 。
培訓導入：結合組織信息安全目標和方針，指導、協助編寫ISO27001程序文件、管理手冊，制定合乎規范的管理規程和控制措施 。
體系建立：結合組織信息安全目標和方針，指導、協助編寫ISO27001程序文件、管理手冊，制定合乎規范的管理規程和控制措施 。
推廣實施：在企業內部推進體系運行，識別信息安全風險資產，在適宜時間開展有效的內部評審和管理評審，保留體系有效運行證據 。
現場審核：向第三方認證機構申請信息安全管理體系認證，協助企業完成現場審核，整改或糾正審核過程中產生的不符合項 。
改進維持：規劃體系年度審核計劃及方案，按照PDCA原則，結合企業實際需求，繼續完善和改進信息安全管理體系 。
審核前需準備的材料
在進行管理體系審核之前，需要準備和提交完備的體系材料 。通常我們將這些材料分為管理手冊、程序文件、制度策略、運行記錄等四級文件 。各級文件對應的材料包括但不限于：
審核員一般會關注的點
在進行文件審核時，外部審核員主要關注信息安全管理體系文件是否符合ISO27001標準，關注文件的適宜性和完整性是否符合要求 。著重關注的文件包括但不限于：法律地位證明、組織簡介、組織機構圖、人員情況說明、管理手冊、程序文件、信息安全方針和目標、信息安全管理體系的規程和控制措施、SOA適用性聲明、風險評估報告、殘余風險聲明、風險處置計劃、資產識別表、法律法規清單.
現場審核時，外部審核員主要關注組織信息安全管理體系執行的程度及有效性，除著重關注各部門信息安全資產識別與風險管理相關記錄外，對應不同部門或角色，著重關注的體系運行記錄分別為：
行政人事部門：
1.來訪人員登記記錄2.人員保密協議3.與信息安全相關的法律法規清單、符合性評價4.與相關相關的培訓計劃、培訓簽到記錄
IT相關部門：1.服務器管理（包括設備點檢、測試日志記錄與審查）2.機房管理等重點區域進出管理3.對各部門定期殺毒、屏保、密碼等監督檢查表單4.公司軟件使用清單、容量標注5.重要數據備份記錄6.上網安全檢查7.各類信息系統如郵箱、OA權限及權限時效性管理記錄
市場業務部門：
1.合同、訂單2.業務連續性資料（計劃、驗證）3.訪問區域限制如未經授權人員可能進入的地點管理記錄
研發部門：
1.產品技術資料（設計開發資料，應包括信息安全風險評估）2.研發人員保密協議3.生產工藝流程圖
采購部門：
1.合格供應商名錄2.供應商調查表3.供應商簽署安全要求的文件協議
【國家信息化安全技術資格認證證書查詢 信息系統安全認證證書】4.供應商基本資料（如營業執照、ISO9001證書等）
管理層：
1.目標達成統計表2.文件清單（手冊、程序、作業指導書）3.文件發布記錄4.外來文件清單5.全公司資產識別與風險管理匯總表6.內審、管審過程記錄

• 阿里云平臺安全助手 系統自動安全攔截該怎么取消
• 家用燃氣報警器安裝位置國家標準 家用燃氣報警器的安裝位置
• 韓式鐵板炒飯怎么做
• 哪種電腦衛士最好用 電腦安全衛士軟件哪個好
• 云南昆明小學3月30日開學是真的嗎,昆明小學30日開學安全嗎
• 女性的安全感從哪來的,如何讓女人在情感上獲得安全感
• 陳小紜怎么出道的 退出國家隊轉行做演員
• 2020年考證時間匯總表 全年各類國家職業資格證書考試日歷安排
• 野鹿是不是國家保護動物
• 月經安全期計算器在線計算 月經安全期計算器查詢