首页 | 嘉洋天智 | 新闻动态 | CMMI | ISO27001 | ISO20000 | 培训服务 | 咨询案例 | 嘉洋智库 | 人才招聘 | 联系我们
新闻动态
详细内容
您的位置:新闻动态 >

导入ISO27001 标准─企业责无旁贷


什么是防止黑客入侵网络、将病毒阻绝于外并将整体安全漏洞降至最低的最佳方法?英国标准协会 (British Standards Institute,简称 BSI),希望能透过 ISO27001替所有企业 (不限英国境内) 解答这个问题。ISO27001 是一套完整的计划,能有效建构信息安全防护机制。IT 专业人员可将这套信息安全标准规则当作蓝图,依其导引制定企业的安全政策与程序。

ISO27001标准 首度于1995 年公诸于世,企业只要作到ISO27001标准的要求,并通过独立稽核机构评鉴,便可获颁 ISO27001信息安全认证,向其客户与合作伙伴宣告,该企业网络内与他们相关的数据都受到适当的保护,而且该企业整体的安全度也值得信任。许多机构有感于面临的安全威胁有增无减,也开始依照 ISO27001的规定施行,他们的目的不见得是要获得认证证书,只是把 ISO27001标准当作最佳指导原则而已。

此套标准已广为许多国家接受,包括澳洲、南非、纽西兰、荷兰与挪威等等。事实上,英国政府于1998年版的数据保护法案 (于 2000 年1 月开始实施) 中,便建议英国境内企业应采用 ISO27001标准,以便符合该项法案的规定。

(1) ISO 17799已于2000年12月正式成为ISO标准
(2) BSI已于2000年公布 Draft ISO27001标准 Part II:2002供各界评估

了解 ISO27001标准条文

ISO27001标准 共由三个主要部分组成:标准施行规范 (又称最佳安全实务准则)、信息安全管理系统标准规格、以及认证程序。导入ISO27001标准 并完成接受认证的准备工作,预估大约需要六到九个月的时间,视 IT 基础架构的复杂程度而定。

第一部份:最佳实务准则

在最佳实务准则这个部分,共列举了组织中十个最主要的部分、127 条控件目与超过 500 条安管细项,以协助企业保护其信息资产。第一部份主要着重在风险管理,目标为协助企业预先规划安全政策,其中制定的控件目不见得全部适用于每一个企业,但 ISO27001标准 会协助阅读者找出适用于其业务的部分。企业若要通过获得认证,必须详细叙述哪些控件目不在其安全政策涵盖范围内,并提出充分的理由予以解释。纳入安管的项目包括因特网使用方式、电子商务、电信通讯、行动运算、法律考虑与人力资源等等。

第二部分:信息安全管理

ISO27001标准 的第二部分协助 IT 人员根据企业目标评估其网络资产,并排出优先级,然后将这些资产整合到安全计划,也就是信息安全管理系统内。安全计划包括四个阶段:风险评估、风险管理、导入防护措施与适用条款。
· 风险评估:指的是分析信息资产可能遭遇的各种状况,及发生安全事件对企业目标可能造成的影响,例如具有恶意程序代码以及未经许可便进入网络的行为,都算是可能遇到的风险。
· 风险管理:指的是得以让企业减低风险的计划。风险管理使用的方法不限定于防火墙之类的网络防护措施,还包括实体安全、管理程序、突发事件应变计划与人力资源规划等等。
· 防护措施:指的是企业为了降低风险而规划并建置的实际工具与资源。
· 适用条款:企业的安全计划,是通过 ISO27001标准 认证的必要条件,其中载明企业实际付诸实行的控件目,以及为何挑选这些控件目并加以实施的理由;此外,企业也必须列出 ISO27001标准 内哪些控件目并未受到引用施行,同时提出充足适当的理由加以解释。

ISO27001认证程序

企业必须通过安全稽核程序,才能获得 ISO27001 认证。由于接受稽核的准备工作非常繁杂,且所需时间长达半年到九个月,因此许多企业选择雇用安全顾问协助他们进行这些准备工作。认证稽核共包含两个部分。首先由接受委托的独立稽核机构分析企业提出的适用条款,审查该企业对 ISO27001标准 各条款的筛选是否合理,大约只要两天即可完成。六个星期后,同一稽核机构会到企业现场勘查,评估企业安全政策与程序的施行成果以及企业对 ISO27001标准 所有控制项目的遵循程度。稽核机构会检验企业实行的技术,并与各部门员工进行面谈,以全盘了解企业实施的安全政策。稽核程序的第二步骤约需要一个星期。当企业通过稽核程序后,发证单位便会发给认证,而且以后每隔一段固定期间,企业都
必须重新接受稽核程序检验,才能继续保有其获得的认证资格。

ISO27001认证为企业带来什么好处?

ISO27001 认证能为企业带来许多重要的策略与营运优势,包括:
· 强化企业安全:透过 ISO27001 认证程序,可减少企业网络的弱点,并提高企业的风险控管能力。减少弱点意味着较少的安全漏洞,诈骗行为、财物风险与法律风险也会跟着减少,当然网络的连续运作时间与客户信心也会随之提高。
· 提高安全规划效率: ISO27001 列举了分属于十项领域共 127 条控件目及其控制细项目,导引企业如何进行人力资源、法务与突发事件应变的规划。这些针对信息安全而提出的全面性详细建议,可使得企业开始导入安全措施时,作到更完善、更容易管控且非常符合经济效益。
· 提高安全管理成效:所有企业都必须开始制定或重新检视其信息安全政策与程序。与企业一般的安全计划不同的是,ISO27001标准 已证实是信息安全的最佳实务准则法则。诸如 BT、HSBC、Marks and Spenser、Shell International 与 Unilever 都对 ISO27001标准 的制定多所贡献,并且在实际商业环境中测试过其成效。
· 持续保护:企业经过认证后,稽核机构的持续检验与ISO27001标准的更新,将确保企业随时了解最新的弱点以及最佳的实务准则法则。
· 改善合作关系:为了让企业网络受到更好的保护,同时又要能进行电子数据交换(EDE),企业可以ISO27001认证作为合作伙伴与供货商的安全要求。
· 安全的电子商务: ISO27001认证等于是一个安全徽章,无论是财务机构或电子商城,消费者都能轻易分辨出哪些是经过认证值得信赖的电子商务公司。
· 提高客户信心:随着客户与厂商对网络安全漏洞愈来愈谨慎,他们也会开始寻求具体的安全保障,ISO27001 认证能提供他们需要的信心。
· 提高稽核投资报酬率(ROI): ISO27001标准 包含了一套认证程序与委托稽核机构。未来当 ISO27001标准 成为业界标准时,便会有愈多的委托独立稽核机构协助企业遵循稽核程序,以进行安全政策的检测与评估,而安全稽核也会愈来愈准确可靠。
· 降低法律风险:企业通过 ISO27001 认证后,将可减少因为安全突发事件而面临的法律问题,因为法庭将会把企业符合该项标准的事实,认定为企业已经做到足够程度的安全防护。
维护网络安全以保护信息资产,已经是现今所有企业都非常重视的一部份,但建构并制定完整的安全政策毕竟不是件容易的事,幸好有 ISO27001标准 这类因特网安全标准程序,协助 IT 人员以更有效率的方式管理网络安全,以便获得更佳效果。随着企业每天面对的安全威胁有增无减,问题已经不再是「为什么要导入 ISO27001标准」,而是「为什么不导入 ISO27001标准」了。

发布: 时间:2009-01-17 点击:
嘉洋天智(北京)科技有限公司 专业 CMMI ISO27001 ISO20000 认证咨询机构 版权所有 京ICP备10007794号-5
地址:北京市房山区良乡镇良官大街58号-A594号  电话:010-59795971