1.2.ISO27001 信息安全管理体系方面的主要任务
企业信息安全现状的调研评估:全面、准确地了解公司的信息安全现状;
信息资产的识别与安全风险的评估:量化分析公司的信息安全风险;
建立安全策略及管理体系:结合国际国内的最佳实践,制定公司信息安全体系建设规划并编写有关技术建议方案和制度策略,为安全体系建设提供保障和指导;
促进安全策略落实与实施:协助通过引入先进的漏洞扫描系统提高现有 IT 系统的安全性;
信息安全内部审计师/审核员的培训及审计实施;
识别影响业务连续性的风险,制定 BCP(业务连续性计划)/DRP(灾难恢复计划);
知识转移:向组织培训并提供一系列国际先进的标准及优秀的参考模型、辅助工具以及技术落实手段,帮助企业内部建立真正懂得信息安全的专家级人员团队;
项目推进:建立顺畅的沟通渠道,从而保证项目按时按质完成 。
1.3.建立信息安全管理体系的意义
(1) 建立贯穿整个供应链的信息安全系统,最大限度减少企业危机;
(2) 促使管理层坚持贯彻信息安全保障体系;
(3) 对组织的关键信息资产进行全面系统的保护,维持竞争优势;
(4) 在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;
(5) 时间与资源的利用最大化;
(6) 使组织的生意伙伴和客户对组织充满信心;
(7) 建立一套完整的信息安全管理体系,在人员参与的过程中建立起所有使用者对信息安全的认同感及警觉意识的提高,强化员工的信息安全意识,规范组织信息安全行为,降低信息安全事件对信息的冲击及发生的机率,大大提升内部信息安全等级;
(8) 公众形象及社会关系:如果通过 BS7799/ISO27001 信息安全管理体系认证,表明体系符合标准,证明组织有能力保障重要信息,它所产生的信息以及对它给予的关注都将有助于公司与相关方之间建立良好的联系并得到他们的认同,提高组织的知名度与信任度;
(9) 市场准入:BS7799/ISO27001 可能成为贸易的一个先决条件。公司可以把国际标准作为实现预期商业目标的途径之一。顾客们可能会要求他们的供应商达到特定的信息安全管理目标并拥有 BS7799/ISO27001 认证,以确保信息安全目标的实现;
(10) 财政市场:拥有一个国际认可的、恰当的信息安全管理体系将提高投资者对资本的信心以及对资本投入,同时将为得到的优惠的保险率提供了潜在的渠道。
1.4.ISO27001信息安全管理体系换版要求
新版与旧版相比主要有三大差异:一、管理体系更容易整合;二、融入企业面临的新挑战;三、更多指引延伸参考。说明如下:
(1) 易整合:
以前各管理系统对管理制度面的要求有不太一致的描述方式,且章节不一。例如管理制度的PDCA(Plan,Do,Check,Act)、政策与高级支持等管理制度面要求不同。在新版当中采取Annex SL做结构性要求,让不同管理系统易于接轨、整合。Annex SL的高级结构是ISO组织未来所有管理制度制定时的重要依据,目前已经有ISO 22301(前BS 25999营运持续管理系统)和这次的ISO 27001新版都已采此结构进行调整。预计已颁布的标准如ISO9000/ ISO20000未来的改版也将以相同的思路进行调整。
(2) 新要求:
ISO 27001:2005原本有11个领域(domain)、133项控制措施,新版DIS目前调整为14个领域(A.5-A.18)、113个控制措施(未来仍可能有改动)。新增的领域是将原分散在各领域中的部分控制目标级别提升,组成新领域,如加密与供应链管理因其重要性而被独立出来成为新领域;或是将原有领域分拆,如将通讯与作业管理分开成两个独立的领域,以反映目前信息安全的发展趋势。而控制措施的减少则是通过合并重复的项目来进行,像变更管理在不同的领域中有重复就予以合并。也有新增的控制项目比如对智能型装置的管理、强化ICT供应链的委外管理、以及系统开发项目管理的信息安全要求等。
(3) 更多参考:
此次ISO也新增许多指引供企业参考,组织可以通过不同的面以及风险进行深度的强化,通过ISO 27001验证只是基本要求。目前ISO 27000系列指引编号已超过44号(001-044),例如金融服务、数字鉴识、供应链管理(4本)、软件开发测试等,主管机关可参考这些指引做升级的要求。
对于目前正在准备ISO 27001的企业,建议无须等待新版,按照原订进度先取得27001:2005验证,在缓冲期结束前转到新版即可,新版会向下兼容接轨。