1.信息安全管理体系
1.1 信息的定义
信息是经过分析、共享和理解的数据或者资料。信息同时也是一种资产,就如同其它的商业资产一样,对一个组织而言是具有价值的,因而需要妥善保护。
信息包括政府信息、内部信息、客户信息、公开信息等,它可以是列印或写在纸张上的;用电子方式储存的;以邮件传输(包括电子邮件);以影视或胶片方式表现 的;也可能存在于人的大脑中的。根据有关数据统计:信息存储介质的比例分别为42%大脑里 、26%纸质、20%电子、12%其它。所以信息安全管理体系 实施,技术(技术手段)与管理(管理体系)必须同时并重,而且最重要的是人的素质和人的意识,正可谓是三分技术,七分管理。
1.2 信息安全问题产生的原因
信息安全主要体现在三个方面:保密性、完整性和可用性。但由于信息自身所具备的价值性和固有的脆弱性,造成了信息在在建立、传送、使用的过程中,由于组织忽视了自身管理活动和服务活动中的信息安全管理行为,造成了信息的丢失和损坏。例如:
- 设备没有定期维护;
- 工作设备带出,但事先数据没有备份与加密;
- 通信和操作角色权限变更管理;
- 责任出现分割;
- 没有注重恶意代码的控制,对控件、中间件、自动脚本等,没有对其运行做出规定。
- 注重备份,但不注重备份的检查和恢复测试;
- 对移动设备的使用没有限制,对作废介质的处理没有限制;
- 对员工如何使用网络资源没有限制,对员工在个人电脑上安装、卸载软件没有限制;
- 对个人的网络、应用软件的口令缺乏保密意识,其它人可用本人的用户名登录,或几个人使用一个用户名;
- 没有定期更换口令的习惯,口令长度、强度不够很容易被猜到;
- 离开电脑时没有锁定电脑桌面的习惯……
发生这些影响信息安全行为的根本原因是由于任何组织都存在脆弱性:
- IT人才流动性强,安全人员缺乏。
- 网络设备提供太多方便,文档易被复制、删除和交换
- 人的意识,安全意识薄弱。
- 保密制度不完善。
- 管理手段,系统默认配置。
- 信息安全管理系统存在漏洞。
- 个人的不良习惯。
1.3信息安全管理体系介绍
ISO/IEC27001信息安全管理体系(ISMS- Information Security Management System)标准为企业和单位提供一套管理工具,从而降低了相应的风险,确保企业业 务的连续性。推行ISO/IEC27001标准的组织将受益匪浅:由于按照国际标准实施适当的控制措施,组织便能自行将信息保安的失误率降至最低。以系统 化的方法处理符合法律的问题,从而降低所需承担的法律责任风险。以系统化的方法计划及管理运营的持续性。增强客户、合作伙伴和相关人士对机构的信心。
ISO27001标准把信息资料看作公司的资产,其对公司的生存与发展起着关键作用,尤其是在知识经济和电子信息时代,确保信息安全更是非常有必要的。 ISO27001信息安全管理体系一个重要的方面是对信息风险的分析与管理。信息风险涉及可能造成信息损失的方方面面。比如电脑病毒有导致信息资料丢失或 损坏的危险,可规定定期进行电脑病毒的检查;外来人员进入本公司有导致信息资料失窃的危险,可规定采用门口设密码、电子卡等方式进入公司;更新电脑软件有 导致资料无法读取的风险,可规定在进行电脑软件的更新时对电脑软件的兼容性进行评估等。
信息安全是通过执行一套适当的控制来达到的。可以是方针、惯例、程序、组织结构和软件功能来实现,这些控制方式需要确定,才能保障组织特定的安全目标的实现。
1.4 信息安全管理体系的三大要素
保密性:确保只有经过授权的人才能存取信息。
完整性:维护提供使用的信息为正确与完整的,未受破坏或篡改。
可用性:确保经过授权的用户在需要时可以存取信息并使用相关信息。
总的来说,凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论,都是信息安全所要研究的范畴,也是信息安全所要实现的目标。
1.5 信息安全管理体系的主要内容
ISO/IEC27001:2005标准包括11大控制领域,39个控制目标和133项控制措施,为组织提供全方位的信息安全保障。在实施的过程中,组织可以根据企业的实际情况,法律法规合约等因素选择适用的控制措施,也可增加额外的控制措施。
1)安全策略(体现企业对信息安全管理体系的支持与承诺)
2)信息安全组织(建立信息安全管理架构,用于公司内部信息安全的管理和控制)
3)资产管理(确保对组织各项资产的安全进行有效保护)
4)人力资源安全(制订所有人员的安全职责与角色)
5)物理和环境安全(对组织的运营场所做出安全要求)
6)通信和操作管理(完善公司内外的沟通与联系,以利于信息安全管理体系的顺利进行)
7)访问控制(管理信息资产的访问行为)
8)信息系统获取、开发和维护(确保公司的IT项目和相关的支持活动已实施安全控制)
9)信息安全事故管理(通报信息安全事故并采取纠正措施,确保实施有效的信息安全事故管理办法)
10)业务连续性管理(制订企业持续运营计划,保护企业核心业务免受重大灾难的中断与影响)
11)符合性(符合法律法规合约的要求)
1.6 信息安全管理体系的主要关注焦点
1)以信息安全风险为关注焦点;
2)以重要资产为关注焦点;
3)以组织部门的职责要求为关注焦点;
4)以信息系统为关注焦点。
1.7 实施信息安全管理体系的重要性
信息及其支持过程的系统和网络都是组织的重要资产。信息的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。
任何组织及其信息系统(如组织的ERP系统)和网络都可能面临着包括计算机辅助欺诈、刺探等破坏行为、火灾、水灾等大范围的安全威胁。随着计算机的日益发展和普及,计算机病毒、计算机服务器的非法入侵破坏已变得日益普遍和错综复杂。
有些组织的信息系统尽管在涉及时可能已考虑了安全,但仅仅依靠技术手段实现安全仍然是有限的,还应当通过管理和程序来支持。
组织可以参照信息安全管理模型,按照先进的信息安全管理标准——ISO27001标准建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、 全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,使信息风险的发生概率和结果降低到可接受水平,并采取措施保证业务不会因风险的发生而 中断。组织建立,实施与保持信息安全管理体系会:
- 强化员工的信息安全意识,规范组织信息安全行为
- 对组织的关键信息资产进行全面系统的保护,维持竞争优势
- 在信息体系受到侵袭时,确保业务持续开展并将损失降到最低程度
- 使组织的生意伙伴和客户对组织充满信心
2. 构建体系
2.1 主要目的
众所周知,ISO 9001是对国际上各类优秀企业的质量管理体系共性的总结,是以客户为 关注焦点的质量管理的基本要求;ISO 27001确定企业运营过程中信息安全的保护防范措施的到位程度,虽然管理的侧重不同,但均采用过程方法将经营中 的各类活动用输入、输出的方法进行连接, 通过对过程的分析,找到维持规范化管理的必要程序,最后形成基于PDCA 不断改进的管理体系。
建立健全的质量管理和信息安全管理体系对企业的安全管理工作和企业的发展意义重大。首先,该整合体系的建立将提高员工信息安全意识,提升企业信息安全管理 的水平,增强组织抵御灾难性事件的能力,是企业信息化建设中的重要环节,必将大大提高对信息安全风险的管控能力,通过与等级保护、风险评估等工作接续起 来,使得信息安全管理更加科学有效。
参照信息安全管理模型建立的全面规划、明确目的、正确部署的、组织完整的信息安全管理体系,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安 全管理方式,实现用最低的成本,保障信息安全合理水平,从而保证业务的有效性与连续性。强化员工的信息安全意识,规范组织信息安全行为;对组织的关键信息 资产进行全面系统的保护,维持竞争优势;在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度,促使管理层坚持贯彻信息安全保障体系。
2.2 主要步骤
构建健全的一套管理体系并不是一蹴而就的,也不是每个企业都是用一个统一的模板,不同的组 织在建立完善管理体系是需要根据自己的特点和具体情况,采取不同的步骤和方法来进行的。但总体来说,构建一套成熟的管理体系一般要经历四个大的阶段,即: 现状调研、风险评估、体系设计和整体实现。
阶段 |
具体工作 |
(一)
准 备 阶 段 |
1、项目启动
- 根据业务、组织、位置、资产和技术等方面的特性,确定ISMS的范围和边界,包括对范围任何删减的详细说明和正当性理由。
- 根据业务、组织、位置、资产和技术等方面的特性,确定ISMS方针。
- 确立管理体系推行的组织及操作模式,建立信息安全委员会。
|
2、前期培训
- ISO27001基本知识简介、实施意义和步骤、国际标准条款具体讲解说明及相关知识的培训。
- 使高层经营主管及各相关部门了解公司导入、实施ISO27001管理体系的重要意义并达成一致共识。
- 使全体员工了解自身在推行ISO27001过程中所担当的角色和作用,以利于各项推行活动的顺利开展。
- 风险评估方法的培训,利于实施风险评估。
|
3、信息安全现状调研
- 选择重要的、关注需求模式(可用性、完整性、保密性)的过程及子过程。
- 如果没有现成的或者在“运行分析”阶段实现的流程图,创建一个。流程图需要详细、全面概括组织的主体流程,包括其逻辑及技术构架。
- 挑选组织中合适、关键的人员以工作组的形式进行分析。
- 讨论分析该组织与需求模式相关的现状,即哪些过程是重要的,为了保证可用性、完整性及机密性当前应该做哪些工作。
|
4、风险评估
- 识别风险。
- 分析和评价风险。
- 识别和评价风险处置的可选措施。
- 为处理风险选择控制目标和控制措施(制定不可接受风险处理计划)。
- 获得管理者对建议的残余风险的批准。
|
5、准备适用性声明
- 选择控制目标及控制措施,以及选择的理由。
- 当前实施的控制目标和控制措施
- 对附录A中任何控制目标和控制措施的删减,以及删减的合理性说明。
|
(二)
实 现 阶 段 |
1、风险处理
- 实施风险处置计划以达到已识别的控制目标,包括资金安排、角色和职责的分配。
|
2、文件化管理体系的建立
- ISMS体系文件架构的确定(通常可分为四层次如ISMS手册、程序文件、作业指导书、记录表单)。
- 各层次所需文件多少、文件编制的责任人员、进度安排的落实。
- 文件编写注意事项、文件格式和风格的确定和培训。
- 按计划编制各层次文件的初稿。
|
3、文件的发布和实施
- 文件经公司领导审核并由总经理批准后予以正式发布。
- 由推行骨干对文件内容要求予以讲解培训,以确保各岗位人员理解和掌握。
|
4、中期培训
- 全员安全意识培训,ISMS实施推广培训,必要的考核。
|
(三)
运 行 阶 段 |
1、 监视和测量
- 迅速检测过程运行结果中的错误;
- 迅速识别试图的和得逞的安全违规和事件;
- 使管理者能够确定分配给人员的安全活动或通过信息技术实施的安全活动是否按期执行;
- 通过使用指示器,帮助检测安全事态并预防安全事件;
- 确定解决安全违规的措施是否有效。
- 在考虑安全审核结果、事件、有效性测量结果、所有相关方的建议和反馈的基础上,进行ISMS有效性的定期评审。
- 测量控制措施的有效性以验证安全要求是否被满足。
|
2、 认证申请
与认证机构磋商,准备材料申请认证,制定认证计划。 |
3、内审员培训
内审员的专业技能培训。 |
4、内部审核
- 内审输入
- 审核准备:组成审核组、审核方案的策划、审核计划的策划、编写检查单。
- 审核策划
- 审核实施:首次会议、审核活动(文件审查、现场审查)、不符合项确定、末次会议。
- 审核报告
- 纠正措施的实施和验证
- 归档保存
- 审核结果的使用
- 内审输出
|
5、管理评审
由总经理对体系整体运作状况予以评价,包括体系的适宜性、有效性和充分性,并对存在不符合予以制定纠正计划。
各责任部门对不符合予以改进、跟踪和验证,以进一步促使体系改进。 |
2.4企业建立体系时所需的硬件(部分)
- 灭火器(机房与财务室)
- 温湿度计(机房温湿度检测用)
- 服务器(项目服务器、测试服务器、域控服务器、邮件服务器、WEB服务器等……)
- 打印机(输出ISMS文件材料)
- 路由器、交换机(网络环境控制)
- 防火墙(软硬件防火墙皆可)
- PC机
- 网络环境(能够受控的、稳定的网络环境)
3. 审核认证
3.1 认证流程
1.信息安全管理体系
1.1 信息的定义
信息是经过分析、共享和理解的数据或者资料。信息同时也是一种资产,就如同其它的商业资产一样,对一个组织而言是具有价值的,因而需要妥善保护。
信息包括政府信息、内部信息、客户信息、公开信息等,它可以是列印或写在纸张上的;用电子方式储存的;以邮件传输(包括电子邮件);以影视或胶片方式表现 的;也可能存在于人的大脑中的。根据有关数据统计:信息存储介质的比例分别为42%大脑里 、26%纸质、20%电子、12%其它。所以信息安全管理体系 实施,技术(技术手段)与管理(管理体系)必须同时并重,而且最重要的是人的素质和人的意识,正可谓是三分技术,七分管理。
1.2 信息安全问题产生的原因
信息安全主要体现在三个方面:保密性、完整性和可用性。但由于信息自身所具备的价值性和固有的脆弱性,造成了信息在在建立、传送、使用的过程中,由于组织忽视了自身管理活动和服务活动中的信息安全管理行为,造成了信息的丢失和损坏。例如:
- 设备没有定期维护;
- 工作设备带出,但事先数据没有备份与加密;
- 通信和操作角色权限变更管理;
- 责任出现分割;
- 没有注重恶意代码的控制,对控件、中间件、自动脚本等,没有对其运行做出规定。
- 注重备份,但不注重备份的检查和恢复测试;
- 对移动设备的使用没有限制,对作废介质的处理没有限制;
- 对员工如何使用网络资源没有限制,对员工在个人电脑上安装、卸载软件没有限制;
- 对个人的网络、应用软件的口令缺乏保密意识,其它人可用本人的用户名登录,或几个人使用一个用户名;
- 没有定期更换口令的习惯,口令长度、强度不够很容易被猜到;
- 离开电脑时没有锁定电脑桌面的习惯……
发生这些影响信息安全行为的根本原因是由于任何组织都存在脆弱性:
- IT人才流动性强,安全人员缺乏。
- 网络设备提供太多方便,文档易被复制、删除和交换
- 人的意识,安全意识薄弱。
- 保密制度不完善。
- 管理手段,系统默认配置。
- 信息安全管理系统存在漏洞。
- 个人的不良习惯。
1.3信息安全管理体系介绍
ISO/IEC27001信息安全管理体系(ISMS- Information Security Management System)标准为企业和单位提供一套管理工具,从而降低了相应的风险,确保企业业 务的连续性。推行ISO/IEC27001标准的组织将受益匪浅:由于按照国际标准实施适当的控制措施,组织便能自行将信息保安的失误率降至最低。以系统 化的方法处理符合法律的问题,从而降低所需承担的法律责任风险。以系统化的方法计划及管理运营的持续性。增强客户、合作伙伴和相关人士对机构的信心。
ISO27001标准把信息资料看作公司的资产,其对公司的生存与发展起着关键作用,尤其是在知识经济和电子信息时代,确保信息安全更是非常有必要的。 ISO27001信息安全管理体系一个重要的方面是对信息风险的分析与管理。信息风险涉及可能造成信息损失的方方面面。比如电脑病毒有导致信息资料丢失或 损坏的危险,可规定定期进行电脑病毒的检查;外来人员进入本公司有导致信息资料失窃的危险,可规定采用门口设密码、电子卡等方式进入公司;更新电脑软件有 导致资料无法读取的风险,可规定在进行电脑软件的更新时对电脑软件的兼容性进行评估等。
信息安全是通过执行一套适当的控制来达到的。可以是方针、惯例、程序、组织结构和软件功能来实现,这些控制方式需要确定,才能保障组织特定的安全目标的实现。
1.4 信息安全管理体系的三大要素
保密性:确保只有经过授权的人才能存取信息。
完整性:维护提供使用的信息为正确与完整的,未受破坏或篡改。
可用性:确保经过授权的用户在需要时可以存取信息并使用相关信息。
总的来说,凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论,都是信息安全所要研究的范畴,也是信息安全所要实现的目标。
1.5 信息安全管理体系的主要内容
ISO/IEC27001:2005标准包括11大控制领域,39个控制目标和133项控制措施,为组织提供全方位的信息安全保障。在实施的过程中,组织可以根据企业的实际情况,法律法规合约等因素选择适用的控制措施,也可增加额外的控制措施。
1)安全策略(体现企业对信息安全管理体系的支持与承诺)
2)信息安全组织(建立信息安全管理架构,用于公司内部信息安全的管理和控制)
3)资产管理(确保对组织各项资产的安全进行有效保护)
4)人力资源安全(制订所有人员的安全职责与角色)
5)物理和环境安全(对组织的运营场所做出安全要求)
6)通信和操作管理(完善公司内外的沟通与联系,以利于信息安全管理体系的顺利进行)
7)访问控制(管理信息资产的访问行为)
8)信息系统获取、开发和维护(确保公司的IT项目和相关的支持活动已实施安全控制)
9)信息安全事故管理(通报信息安全事故并采取纠正措施,确保实施有效的信息安全事故管理办法)
10)业务连续性管理(制订企业持续运营计划,保护企业核心业务免受重大灾难的中断与影响)
11)符合性(符合法律法规合约的要求)
1.6 信息安全管理体系的主要关注焦点
1)以信息安全风险为关注焦点;
2)以重要资产为关注焦点;
3)以组织部门的职责要求为关注焦点;
4)以信息系统为关注焦点。
1.7 实施信息安全管理体系的重要性
信息及其支持过程的系统和网络都是组织的重要资产。信息的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。
任何组织及其信息系统(如组织的ERP系统)和网络都可能面临着包括计算机辅助欺诈、刺探等破坏行为、火灾、水灾等大范围的安全威胁。随着计算机的日益发展和普及,计算机病毒、计算机服务器的非法入侵破坏已变得日益普遍和错综复杂。
有些组织的信息系统尽管在涉及时可能已考虑了安全,但仅仅依靠技术手段实现安全仍然是有限的,还应当通过管理和程序来支持。
组织可以参照信息安全管理模型,按照先进的信息安全管理标准——ISO27001标准建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、 全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,使信息风险的发生概率和结果降低到可接受水平,并采取措施保证业务不会因风险的发生而 中断。组织建立,实施与保持信息安全管理体系会:
- 强化员工的信息安全意识,规范组织信息安全行为
- 对组织的关键信息资产进行全面系统的保护,维持竞争优势
- 在信息体系受到侵袭时,确保业务持续开展并将损失降到最低程度
- 使组织的生意伙伴和客户对组织充满信心
2. 构建体系
2.1 主要目的
众所周知,ISO 9001是对国际上各类优秀企业的质量管理体系共性的总结,是以客户为 关注焦点的质量管理的基本要求;ISO 27001确定企业运营过程中信息安全的保护防范措施的到位程度,虽然管理的侧重不同,但均采用过程方法将经营中 的各类活动用输入、输出的方法进行连接, 通过对过程的分析,找到维持规范化管理的必要程序,最后形成基于PDCA 不断改进的管理体系。
建立健全的质量管理和信息安全管理体系对企业的安全管理工作和企业的发展意义重大。首先,该整合体系的建立将提高员工信息安全意识,提升企业信息安全管理 的水平,增强组织抵御灾难性事件的能力,是企业信息化建设中的重要环节,必将大大提高对信息安全风险的管控能力,通过与等级保护、风险评估等工作接续起 来,使得信息安全管理更加科学有效。
参照信息安全管理模型建立的全面规划、明确目的、正确部署的、组织完整的信息安全管理体系,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安 全管理方式,实现用最低的成本,保障信息安全合理水平,从而保证业务的有效性与连续性。强化员工的信息安全意识,规范组织信息安全行为;对组织的关键信息 资产进行全面系统的保护,维持竞争优势;在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度,促使管理层坚持贯彻信息安全保障体系。
2.2 主要步骤
构建健全的一套管理体系并不是一蹴而就的,也不是每个企业都是用一个统一的模板,不同的组 织在建立完善管理体系是需要根据自己的特点和具体情况,采取不同的步骤和方法来进行的。但总体来说,构建一套成熟的管理体系一般要经历四个大的阶段,即: 现状调研、风险评估、体系设计和整体实现。
2.3具体工作
阶段 |
具体工作 |
(一)
准 备 阶 段 |
1、项目启动
- 根据业务、组织、位置、资产和技术等方面的特性,确定ISMS的范围和边界,包括对范围任何删减的详细说明和正当性理由。
- 根据业务、组织、位置、资产和技术等方面的特性,确定ISMS方针。
- 确立管理体系推行的组织及操作模式,建立信息安全委员会。
|
2、前期培训
- ISO27001基本知识简介、实施意义和步骤、国际标准条款具体讲解说明及相关知识的培训。
- 使高层经营主管及各相关部门了解公司导入、实施ISO27001管理体系的重要意义并达成一致共识。
- 使全体员工了解自身在推行ISO27001过程中所担当的角色和作用,以利于各项推行活动的顺利开展。
- 风险评估方法的培训,利于实施风险评估。
|
3、信息安全现状调研
- 选择重要的、关注需求模式(可用性、完整性、保密性)的过程及子过程。
- 如果没有现成的或者在“运行分析”阶段实现的流程图,创建一个。流程图需要详细、全面概括组织的主体流程,包括其逻辑及技术构架。
- 挑选组织中合适、关键的人员以工作组的形式进行分析。
- 讨论分析该组织与需求模式相关的现状,即哪些过程是重要的,为了保证可用性、完整性及机密性当前应该做哪些工作。
|
4、风险评估
- 识别风险。
- 分析和评价风险。
- 识别和评价风险处置的可选措施。
- 为处理风险选择控制目标和控制措施(制定不可接受风险处理计划)。
- 获得管理者对建议的残余风险的批准。
|
5、准备适用性声明
- 选择控制目标及控制措施,以及选择的理由。
- 当前实施的控制目标和控制措施
- 对附录A中任何控制目标和控制措施的删减,以及删减的合理性说明。
|
(二)
实 现 阶 段 |
1、风险处理
- 实施风险处置计划以达到已识别的控制目标,包括资金安排、角色和职责的分配。
|
2、文件化管理体系的建立
- ISMS体系文件架构的确定(通常可分为四层次如ISMS手册、程序文件、作业指导书、记录表单)。
- 各层次所需文件多少、文件编制的责任人员、进度安排的落实。
- 文件编写注意事项、文件格式和风格的确定和培训。
- 按计划编制各层次文件的初稿。
|
3、文件的发布和实施
- 文件经公司领导审核并由总经理批准后予以正式发布。
- 由推行骨干对文件内容要求予以讲解培训,以确保各岗位人员理解和掌握。
|
4、中期培训
- 全员安全意识培训,ISMS实施推广培训,必要的考核。
|
(三)
运 行 阶 段 |
1、 监视和测量
- 迅速检测过程运行结果中的错误;
- 迅速识别试图的和得逞的安全违规和事件;
- 使管理者能够确定分配给人员的安全活动或通过信息技术实施的安全活动是否按期执行;
- 通过使用指示器,帮助检测安全事态并预防安全事件;
- 确定解决安全违规的措施是否有效。
- 在考虑安全审核结果、事件、有效性测量结果、所有相关方的建议和反馈的基础上,进行ISMS有效性的定期评审。
- 测量控制措施的有效性以验证安全要求是否被满足。
|
2、 认证申请
与认证机构磋商,准备材料申请认证,制定认证计划。 |
3、内审员培训
内审员的专业技能培训。 |
4、内部审核
- 内审输入
- 审核准备:组成审核组、审核方案的策划、审核计划的策划、编写检查单。
- 审核策划
- 审核实施:首次会议、审核活动(文件审查、现场审查)、不符合项确定、末次会议。
- 审核报告
- 纠正措施的实施和验证
- 归档保存
- 审核结果的使用
- 内审输出
|
5、管理评审
由总经理对体系整体运作状况予以评价,包括体系的适宜性、有效性和充分性,并对存在不符合予以制定纠正计划。
各责任部门对不符合予以改进、跟踪和验证,以进一步促使体系改进。 |
2.4企业建立体系时所需的硬件(部分)
- 灭火器(机房与财务室)
- 温湿度计(机房温湿度检测用)
- 服务器(项目服务器、测试服务器、域控服务器、邮件服务器、WEB服务器等……)
- 打印机(输出ISMS文件材料)
- 路由器、交换机(网络环境控制)
- 防火墙(软硬件防火墙皆可)
- PC机
- 网络环境(能够受控的、稳定的网络环境)
3. 审核认证
3.1 认证流程
3.2 认证申请条件
- 申请方应具有明确的法律地位
- 受审核方已经按照标准建立文件化的管理体系(包括质量手册、程序文件、内审资料、管理评审资料以及你程序文件要求的其它相关表单)
- 现场审核前,受审核方的管理体系至少有效运行三个月并进行了一次完整的内部审核和管理评审
3.3认证须提交的材料清单
法律地位证明文件(如企业法人营业执照、事业单位法人代码证书、社团法人登记证等),组织机构代码证书;
- 有效的资质证明、产品生产许可证强制性产品认证证书等(需要时)
- 组织简介(产品及与产品/服务有关的技术标准、强制性标准、使用设备、人员情况等)
- 申请认证产品的生产、加工或服务工艺流程图;
- 临时场所、多场所需提供清单;
- 管理手册、程序文件及组织机构图;
- 服务器数量以及终端数量;
- 适用性声明、资产列表
- 保密协议、信息安全敏感区域的声明;
- 支持ISMS的规程和控制措施、风险评估方法的描述、风险评估报告、风险处置计划、组织为确保其信息安全过程的有效规范/运行和控制以及描述如何测量控制措施的有效性所需的形成文件的规程.
1.信息安全管理体系
1.1 信息的定义
信息是经过分析、共享和理解的数据或者资料。信息同时也是一种资产,就如同其它的商业资产一样,对一个组织而言是具有价值的,因而需要妥善保护。
信息包括政府信息、内部信息、客户信息、公开信息等,它可以是列印或写在纸张上的;用电子方式储存的;以邮件传输(包括电子邮件);以影视或胶片方式表现 的;也可能存在于人的大脑中的。根据有关数据统计:信息存储介质的比例分别为42%大脑里 、26%纸质、20%电子、12%其它。所以信息安全管理体系 实施,技术(技术手段)与管理(管理体系)必须同时并重,而且最重要的是人的素质和人的意识,正可谓是三分技术,七分管理。
1.2 信息安全问题产生的原因
信息安全主要体现在三个方面:保密性、完整性和可用性。但由于信息自身所具备的价值性和固有的脆弱性,造成了信息在在建立、传送、使用的过程中,由于组织忽视了自身管理活动和服务活动中的信息安全管理行为,造成了信息的丢失和损坏。例如:
- 设备没有定期维护;
- 工作设备带出,但事先数据没有备份与加密;
- 通信和操作角色权限变更管理;
- 责任出现分割;
- 没有注重恶意代码的控制,对控件、中间件、自动脚本等,没有对其运行做出规定。
- 注重备份,但不注重备份的检查和恢复测试;
- 对移动设备的使用没有限制,对作废介质的处理没有限制;
- 对员工如何使用网络资源没有限制,对员工在个人电脑上安装、卸载软件没有限制;
- 对个人的网络、应用软件的口令缺乏保密意识,其它人可用本人的用户名登录,或几个人使用一个用户名;
- 没有定期更换口令的习惯,口令长度、强度不够很容易被猜到;
- 离开电脑时没有锁定电脑桌面的习惯……
发生这些影响信息安全行为的根本原因是由于任何组织都存在脆弱性:
- IT人才流动性强,安全人员缺乏。
- 网络设备提供太多方便,文档易被复制、删除和交换
- 人的意识,安全意识薄弱。
- 保密制度不完善。
- 管理手段,系统默认配置。
- 信息安全管理系统存在漏洞。
- 个人的不良习惯。
1.3信息安全管理体系介绍
ISO/IEC27001信息安全管理体系(ISMS- Information Security Management System)标准为企业和单位提供一套管理工具,从而降低了相应的风险,确保企业业 务的连续性。推行ISO/IEC27001标准的组织将受益匪浅:由于按照国际标准实施适当的控制措施,组织便能自行将信息保安的失误率降至最低。以系统 化的方法处理符合法律的问题,从而降低所需承担的法律责任风险。以系统化的方法计划及管理运营的持续性。增强客户、合作伙伴和相关人士对机构的信心。
ISO27001标准把信息资料看作公司的资产,其对公司的生存与发展起着关键作用,尤其是在知识经济和电子信息时代,确保信息安全更是非常有必要的。 ISO27001信息安全管理体系一个重要的方面是对信息风险的分析与管理。信息风险涉及可能造成信息损失的方方面面。比如电脑病毒有导致信息资料丢失或 损坏的危险,可规定定期进行电脑病毒的检查;外来人员进入本公司有导致信息资料失窃的危险,可规定采用门口设密码、电子卡等方式进入公司;更新电脑软件有 导致资料无法读取的风险,可规定在进行电脑软件的更新时对电脑软件的兼容性进行评估等。
信息安全是通过执行一套适当的控制来达到的。可以是方针、惯例、程序、组织结构和软件功能来实现,这些控制方式需要确定,才能保障组织特定的安全目标的实现。
1.4 信息安全管理体系的三大要素
保密性:确保只有经过授权的人才能存取信息。
完整性:维护提供使用的信息为正确与完整的,未受破坏或篡改。
可用性:确保经过授权的用户在需要时可以存取信息并使用相关信息。
总的来说,凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论,都是信息安全所要研究的范畴,也是信息安全所要实现的目标。
1.5 信息安全管理体系的主要内容
ISO/IEC27001:2005标准包括11大控制领域,39个控制目标和133项控制措施,为组织提供全方位的信息安全保障。在实施的过程中,组织可以根据企业的实际情况,法律法规合约等因素选择适用的控制措施,也可增加额外的控制措施。
1)安全策略(体现企业对信息安全管理体系的支持与承诺)
2)信息安全组织(建立信息安全管理架构,用于公司内部信息安全的管理和控制)
3)资产管理(确保对组织各项资产的安全进行有效保护)
4)人力资源安全(制订所有人员的安全职责与角色)
5)物理和环境安全(对组织的运营场所做出安全要求)
6)通信和操作管理(完善公司内外的沟通与联系,以利于信息安全管理体系的顺利进行)
7)访问控制(管理信息资产的访问行为)
8)信息系统获取、开发和维护(确保公司的IT项目和相关的支持活动已实施安全控制)
9)信息安全事故管理(通报信息安全事故并采取纠正措施,确保实施有效的信息安全事故管理办法)
10)业务连续性管理(制订企业持续运营计划,保护企业核心业务免受重大灾难的中断与影响)
11)符合性(符合法律法规合约的要求)
1.6 信息安全管理体系的主要关注焦点
1)以信息安全风险为关注焦点;
2)以重要资产为关注焦点;
3)以组织部门的职责要求为关注焦点;
4)以信息系统为关注焦点。
1.7 实施信息安全管理体系的重要性
信息及其支持过程的系统和网络都是组织的重要资产。信息的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。
任何组织及其信息系统(如组织的ERP系统)和网络都可能面临着包括计算机辅助欺诈、刺探等破坏行为、火灾、水灾等大范围的安全威胁。随着计算机的日益发展和普及,计算机病毒、计算机服务器的非法入侵破坏已变得日益普遍和错综复杂。
有些组织的信息系统尽管在涉及时可能已考虑了安全,但仅仅依靠技术手段实现安全仍然是有限的,还应当通过管理和程序来支持。
组织可以参照信息安全管理模型,按照先进的信息安全管理标准——ISO27001标准建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、 全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,使信息风险的发生概率和结果降低到可接受水平,并采取措施保证业务不会因风险的发生而 中断。组织建立,实施与保持信息安全管理体系会:
- 强化员工的信息安全意识,规范组织信息安全行为
- 对组织的关键信息资产进行全面系统的保护,维持竞争优势
- 在信息体系受到侵袭时,确保业务持续开展并将损失降到最低程度
- 使组织的生意伙伴和客户对组织充满信心
2. 构建体系
2.1 主要目的
众所周知,ISO 9001是对国际上各类优秀企业的质量管理体系共性的总结,是以客户为 关注焦点的质量管理的基本要求;ISO 27001确定企业运营过程中信息安全的保护防范措施的到位程度,虽然管理的侧重不同,但均采用过程方法将经营中 的各类活动用输入、输出的方法进行连接, 通过对过程的分析,找到维持规范化管理的必要程序,最后形成基于PDCA 不断改进的管理体系。
建立健全的质量管理和信息安全管理体系对企业的安全管理工作和企业的发展意义重大。首先,该整合体系的建立将提高员工信息安全意识,提升企业信息安全管理 的水平,增强组织抵御灾难性事件的能力,是企业信息化建设中的重要环节,必将大大提高对信息安全风险的管控能力,通过与等级保护、风险评估等工作接续起 来,使得信息安全管理更加科学有效。
参照信息安全管理模型建立的全面规划、明确目的、正确部署的、组织完整的信息安全管理体系,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安 全管理方式,实现用最低的成本,保障信息安全合理水平,从而保证业务的有效性与连续性。强化员工的信息安全意识,规范组织信息安全行为;对组织的关键信息 资产进行全面系统的保护,维持竞争优势;在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度,促使管理层坚持贯彻信息安全保障体系。
2.2 主要步骤
构建健全的一套管理体系并不是一蹴而就的,也不是每个企业都是用一个统一的模板,不同的组 织在建立完善管理体系是需要根据自己的特点和具体情况,采取不同的步骤和方法来进行的。但总体来说,构建一套成熟的管理体系一般要经历四个大的阶段,即: 现状调研、风险评估、体系设计和整体实现。
2.3具体工作
阶段 |
具体工作 |
(一)
准 备 阶 段 |
1、项目启动
- 根据业务、组织、位置、资产和技术等方面的特性,确定ISMS的范围和边界,包括对范围任何删减的详细说明和正当性理由。
- 根据业务、组织、位置、资产和技术等方面的特性,确定ISMS方针。
- 确立管理体系推行的组织及操作模式,建立信息安全委员会。
|
2、前期培训
- ISO27001基本知识简介、实施意义和步骤、国际标准条款具体讲解说明及相关知识的培训。
- 使高层经营主管及各相关部门了解公司导入、实施ISO27001管理体系的重要意义并达成一致共识。
- 使全体员工了解自身在推行ISO27001过程中所担当的角色和作用,以利于各项推行活动的顺利开展。
- 风险评估方法的培训,利于实施风险评估。
|
3、信息安全现状调研
- 选择重要的、关注需求模式(可用性、完整性、保密性)的过程及子过程。
- 如果没有现成的或者在“运行分析”阶段实现的流程图,创建一个。流程图需要详细、全面概括组织的主体流程,包括其逻辑及技术构架。
- 挑选组织中合适、关键的人员以工作组的形式进行分析。
- 讨论分析该组织与需求模式相关的现状,即哪些过程是重要的,为了保证可用性、完整性及机密性当前应该做哪些工作。
|
4、风险评估
- 识别风险。
- 分析和评价风险。
- 识别和评价风险处置的可选措施。
- 为处理风险选择控制目标和控制措施(制定不可接受风险处理计划)。
- 获得管理者对建议的残余风险的批准。
|
5、准备适用性声明
- 选择控制目标及控制措施,以及选择的理由。
- 当前实施的控制目标和控制措施
- 对附录A中任何控制目标和控制措施的删减,以及删减的合理性说明。
|
(二)
实 现 阶 段 |
1、风险处理
- 实施风险处置计划以达到已识别的控制目标,包括资金安排、角色和职责的分配。
|
2、文件化管理体系的建立
- ISMS体系文件架构的确定(通常可分为四层次如ISMS手册、程序文件、作业指导书、记录表单)。
- 各层次所需文件多少、文件编制的责任人员、进度安排的落实。
- 文件编写注意事项、文件格式和风格的确定和培训。
- 按计划编制各层次文件的初稿。
|
3、文件的发布和实施
- 文件经公司领导审核并由总经理批准后予以正式发布。
- 由推行骨干对文件内容要求予以讲解培训,以确保各岗位人员理解和掌握。
|
4、中期培训
- 全员安全意识培训,ISMS实施推广培训,必要的考核。
|
(三)
运 行 阶 段 |
1、 监视和测量
- 迅速检测过程运行结果中的错误;
- 迅速识别试图的和得逞的安全违规和事件;
- 使管理者能够确定分配给人员的安全活动或通过信息技术实施的安全活动是否按期执行;
- 通过使用指示器,帮助检测安全事态并预防安全事件;
- 确定解决安全违规的措施是否有效。
- 在考虑安全审核结果、事件、有效性测量结果、所有相关方的建议和反馈的基础上,进行ISMS有效性的定期评审。
- 测量控制措施的有效性以验证安全要求是否被满足。
|
2、 认证申请
与认证机构磋商,准备材料申请认证,制定认证计划。 |
3、内审员培训
内审员的专业技能培训。 |
4、内部审核
- 内审输入
- 审核准备:组成审核组、审核方案的策划、审核计划的策划、编写检查单。
- 审核策划
- 审核实施:首次会议、审核活动(文件审查、现场审查)、不符合项确定、末次会议。
- 审核报告
- 纠正措施的实施和验证
- 归档保存
- 审核结果的使用
- 内审输出
|
5、管理评审
由总经理对体系整体运作状况予以评价,包括体系的适宜性、有效性和充分性,并对存在不符合予以制定纠正计划。
各责任部门对不符合予以改进、跟踪和验证,以进一步促使体系改进。 |
2.4企业建立体系时所需的硬件(部分)
- 灭火器(机房与财务室)
- 温湿度计(机房温湿度检测用)
- 服务器(项目服务器、测试服务器、域控服务器、邮件服务器、WEB服务器等……)
- 打印机(输出ISMS文件材料)
- 路由器、交换机(网络环境控制)
- 防火墙(软硬件防火墙皆可)
- PC机
- 网络环境(能够受控的、稳定的网络环境)
3. 审核认证
3.1 认证流程
3.2 认证申请条件
- 申请方应具有明确的法律地位
- 受审核方已经按照标准建立文件化的管理体系(包括质量手册、程序文件、内审资料、管理评审资料以及你程序文件要求的其它相关表单)
- 现场审核前,受审核方的管理体系至少有效运行三个月并进行了一次完整的内部审核和管理评审
3.3认证须提交的材料清单
法律地位证明文件(如企业法人营业执照、事业单位法人代码证书、社团法人登记证等),组织机构代码证书;
- 有效的资质证明、产品生产许可证强制性产品认证证书等(需要时)
- 组织简介(产品及与产品/服务有关的技术标准、强制性标准、使用设备、人员情况等)
- 申请认证产品的生产、加工或服务工艺流程图;
- 临时场所、多场所需提供清单;
- 管理手册、程序文件及组织机构图;
- 服务器数量以及终端数量;
- 适用性声明、资产列表
- 保密协议、信息安全敏感区域的声明;
- 支持ISMS的规程和控制措施、风险评估方法的描述、风险评估报告、风险处置计划、组织为确保其信息安全过程的有效规范/运行和控制以及描述如何测量控制措施的有效性所需的形成文件的规程
- 申请方应具有明确的法律地位
- 受审核方已经按照标准建立文件化的管理体系(包括质量手册、程序文件、内审资料、管理评审资料以及你程序文件要求的其它相关表单)
- 现场审核前,受审核方的管理体系至少有效运行三个月并进行了一次完整的内部审核和管理评审
3.3认证须提交的材料清单
法律地位证明文件(如企业法人营业执照、事业单位法人代码证书、社团法人登记证等),组织机构代码证书;
- 有效的资质证明、产品生产许可证强制性产品认证证书等(需要时)
- 组织简介(产品及与产品/服务有关的技术标准、强制性标准、使用设备、人员情况等)
- 申请认证产品的生产、加工或服务工艺流程图;
- 临时场所、多场所需提供清单;
- 管理手册、程序文件及组织机构图;
- 服务器数量以及终端数量;
- 适用性声明、资产列表
- 保密协议、信息安全敏感区域的声明;
- 支持ISMS的规程和控制措施、风险评估方法的描述、风险评估报告、风险处置计划、组织为确保其信息安全过程的有效规范/运行和控制以及描述如何测量控制措施的有效性所需的形成文件的规程.
- ISO9001,ISO9001认证办理,石家庄ISO9001认证办理,石家庄办理9001认证,河北ISO9001认证办理,河北ISO14001认证办理,河北OHSAS18001认证办理,河北ISO22000认证办理,河北质量认证,河北体系认证,河北认证机构,河北咨询机构,石家庄认证,石家庄ISO9001,沧州ISO9001,衡水ISO9001,保定ISO9001,唐山ISO9001,ISO14001,OHSAS18001,ISO22000,ISO/TS16949,ISO27001
1.信息安全管理体系
1.1 信息的定义
信息是经过分析、共享和理解的数据或者资料。信息同时也是一种资产,就如同其它的商业资产一样,对一个组织而言是具有价值的,因而需要妥善保护。
信息包括政府信息、内部信息、客户信息、公开信息等,它可以是列印或写在纸张上的;用电子方式储存的;以邮件传输(包括电子邮件);以影视或胶片方式表现 的;也可能存在于人的大脑中的。根据有关数据统计:信息存储介质的比例分别为42%大脑里 、26%纸质、20%电子、12%其它。所以信息安全管理体系 实施,技术(技术手段)与管理(管理体系)必须同时并重,而且最重要的是人的素质和人的意识,正可谓是三分技术,七分管理。
1.2 信息安全问题产生的原因
信息安全主要体现在三个方面:保密性、完整性和可用性。但由于信息自身所具备的价值性和固有的脆弱性,造成了信息在在建立、传送、使用的过程中,由于组织忽视了自身管理活动和服务活动中的信息安全管理行为,造成了信息的丢失和损坏。例如:
- 设备没有定期维护;
- 工作设备带出,但事先数据没有备份与加密;
- 通信和操作角色权限变更管理;
- 责任出现分割;
- 没有注重恶意代码的控制,对控件、中间件、自动脚本等,没有对其运行做出规定。
- 注重备份,但不注重备份的检查和恢复测试;
- 对移动设备的使用没有限制,对作废介质的处理没有限制;
- 对员工如何使用网络资源没有限制,对员工在个人电脑上安装、卸载软件没有限制;
- 对个人的网络、应用软件的口令缺乏保密意识,其它人可用本人的用户名登录,或几个人使用一个用户名;
- 没有定期更换口令的习惯,口令长度、强度不够很容易被猜到;
- 离开电脑时没有锁定电脑桌面的习惯……
发生这些影响信息安全行为的根本原因是由于任何组织都存在脆弱性:
- IT人才流动性强,安全人员缺乏。
- 网络设备提供太多方便,文档易被复制、删除和交换
- 人的意识,安全意识薄弱。
- 保密制度不完善。
- 管理手段,系统默认配置。
- 信息安全管理系统存在漏洞。
- 个人的不良习惯。
1.3信息安全管理体系介绍
ISO/IEC27001信息安全管理体系(ISMS- Information Security Management System)标准为企业和单位提供一套管理工具,从而降低了相应的风险,确保企业业 务的连续性。推行ISO/IEC27001标准的组织将受益匪浅:由于按照国际标准实施适当的控制措施,组织便能自行将信息保安的失误率降至最低。以系统 化的方法处理符合法律的问题,从而降低所需承担的法律责任风险。以系统化的方法计划及管理运营的持续性。增强客户、合作伙伴和相关人士对机构的信心。
ISO27001标准把信息资料看作公司的资产,其对公司的生存与发展起着关键作用,尤其是在知识经济和电子信息时代,确保信息安全更是非常有必要的。 ISO27001信息安全管理体系一个重要的方面是对信息风险的分析与管理。信息风险涉及可能造成信息损失的方方面面。比如电脑病毒有导致信息资料丢失或 损坏的危险,可规定定期进行电脑病毒的检查;外来人员进入本公司有导致信息资料失窃的危险,可规定采用门口设密码、电子卡等方式进入公司;更新电脑软件有 导致资料无法读取的风险,可规定在进行电脑软件的更新时对电脑软件的兼容性进行评估等。
信息安全是通过执行一套适当的控制来达到的。可以是方针、惯例、程序、组织结构和软件功能来实现,这些控制方式需要确定,才能保障组织特定的安全目标的实现。
1.4 信息安全管理体系的三大要素
保密性:确保只有经过授权的人才能存取信息。
完整性:维护提供使用的信息为正确与完整的,未受破坏或篡改。
可用性:确保经过授权的用户在需要时可以存取信息并使用相关信息。
总的来说,凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论,都是信息安全所要研究的范畴,也是信息安全所要实现的目标。
1.5 信息安全管理体系的主要内容
ISO/IEC27001:2005标准包括11大控制领域,39个控制目标和133项控制措施,为组织提供全方位的信息安全保障。在实施的过程中,组织可以根据企业的实际情况,法律法规合约等因素选择适用的控制措施,也可增加额外的控制措施。
1)安全策略(体现企业对信息安全管理体系的支持与承诺)
2)信息安全组织(建立信息安全管理架构,用于公司内部信息安全的管理和控制)
3)资产管理(确保对组织各项资产的安全进行有效保护)
4)人力资源安全(制订所有人员的安全职责与角色)
5)物理和环境安全(对组织的运营场所做出安全要求)
6)通信和操作管理(完善公司内外的沟通与联系,以利于信息安全管理体系的顺利进行)
7)访问控制(管理信息资产的访问行为)
8)信息系统获取、开发和维护(确保公司的IT项目和相关的支持活动已实施安全控制)
9)信息安全事故管理(通报信息安全事故并采取纠正措施,确保实施有效的信息安全事故管理办法)
10)业务连续性管理(制订企业持续运营计划,保护企业核心业务免受重大灾难的中断与影响)
11)符合性(符合法律法规合约的要求)
1.6 信息安全管理体系的主要关注焦点
1)以信息安全风险为关注焦点;
2)以重要资产为关注焦点;
3)以组织部门的职责要求为关注焦点;
4)以信息系统为关注焦点。
1.7 实施信息安全管理体系的重要性
信息及其支持过程的系统和网络都是组织的重要资产。信息的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。
任何组织及其信息系统(如组织的ERP系统)和网络都可能面临着包括计算机辅助欺诈、刺探等破坏行为、火灾、水灾等大范围的安全威胁。随着计算机的日益发展和普及,计算机病毒、计算机服务器的非法入侵破坏已变得日益普遍和错综复杂。
有些组织的信息系统尽管在涉及时可能已考虑了安全,但仅仅依靠技术手段实现安全仍然是有限的,还应当通过管理和程序来支持。
组织可以参照信息安全管理模型,按照先进的信息安全管理标准——ISO27001标准建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、 全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,使信息风险的发生概率和结果降低到可接受水平,并采取措施保证业务不会因风险的发生而 中断。组织建立,实施与保持信息安全管理体系会:
- 强化员工的信息安全意识,规范组织信息安全行为
- 对组织的关键信息资产进行全面系统的保护,维持竞争优势
- 在信息体系受到侵袭时,确保业务持续开展并将损失降到最低程度
- 使组织的生意伙伴和客户对组织充满信心
2. 构建体系
2.1 主要目的
众所周知,ISO 9001是对国际上各类优秀企业的质量管理体系共性的总结,是以客户为 关注焦点的质量管理的基本要求;ISO 27001确定企业运营过程中信息安全的保护防范措施的到位程度,虽然管理的侧重不同,但均采用过程方法将经营中 的各类活动用输入、输出的方法进行连接, 通过对过程的分析,找到维持规范化管理的必要程序,最后形成基于PDCA 不断改进的管理体系。
建立健全的质量管理和信息安全管理体系对企业的安全管理工作和企业的发展意义重大。首先,该整合体系的建立将提高员工信息安全意识,提升企业信息安全管理 的水平,增强组织抵御灾难性事件的能力,是企业信息化建设中的重要环节,必将大大提高对信息安全风险的管控能力,通过与等级保护、风险评估等工作接续起 来,使得信息安全管理更加科学有效。
参照信息安全管理模型建立的全面规划、明确目的、正确部署的、组织完整的信息安全管理体系,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安 全管理方式,实现用最低的成本,保障信息安全合理水平,从而保证业务的有效性与连续性。强化员工的信息安全意识,规范组织信息安全行为;对组织的关键信息 资产进行全面系统的保护,维持竞争优势;在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度,促使管理层坚持贯彻信息安全保障体系。
2.2 主要步骤
构建健全的一套管理体系并不是一蹴而就的,也不是每个企业都是用一个统一的模板,不同的组 织在建立完善管理体系是需要根据自己的特点和具体情况,采取不同的步骤和方法来进行的。但总体来说,构建一套成熟的管理体系一般要经历四个大的阶段,即: 现状调研、风险评估、体系设计和整体实现。
2.3具体工作
阶段 |
具体工作 |
(一)
准 备 阶 段 |
1、项目启动
- 根据业务、组织、位置、资产和技术等方面的特性,确定ISMS的范围和边界,包括对范围任何删减的详细说明和正当性理由。
- 根据业务、组织、位置、资产和技术等方面的特性,确定ISMS方针。
- 确立管理体系推行的组织及操作模式,建立信息安全委员会。
|
2、前期培训
- ISO27001基本知识简介、实施意义和步骤、国际标准条款具体讲解说明及相关知识的培训。
- 使高层经营主管及各相关部门了解公司导入、实施ISO27001管理体系的重要意义并达成一致共识。
- 使全体员工了解自身在推行ISO27001过程中所担当的角色和作用,以利于各项推行活动的顺利开展。
- 风险评估方法的培训,利于实施风险评估。
|
3、信息安全现状调研
- 选择重要的、关注需求模式(可用性、完整性、保密性)的过程及子过程。
- 如果没有现成的或者在“运行分析”阶段实现的流程图,创建一个。流程图需要详细、全面概括组织的主体流程,包括其逻辑及技术构架。
- 挑选组织中合适、关键的人员以工作组的形式进行分析。
- 讨论分析该组织与需求模式相关的现状,即哪些过程是重要的,为了保证可用性、完整性及机密性当前应该做哪些工作。
|
4、风险评估
- 识别风险。
- 分析和评价风险。
- 识别和评价风险处置的可选措施。
- 为处理风险选择控制目标和控制措施(制定不可接受风险处理计划)。
- 获得管理者对建议的残余风险的批准。
|
5、准备适用性声明
- 选择控制目标及控制措施,以及选择的理由。
- 当前实施的控制目标和控制措施
- 对附录A中任何控制目标和控制措施的删减,以及删减的合理性说明。
|
(二)
实 现 阶 段 |
1、风险处理
- 实施风险处置计划以达到已识别的控制目标,包括资金安排、角色和职责的分配。
|
2、文件化管理体系的建立
- ISMS体系文件架构的确定(通常可分为四层次如ISMS手册、程序文件、作业指导书、记录表单)。
- 各层次所需文件多少、文件编制的责任人员、进度安排的落实。
- 文件编写注意事项、文件格式和风格的确定和培训。
- 按计划编制各层次文件的初稿。
|
3、文件的发布和实施
- 文件经公司领导审核并由总经理批准后予以正式发布。
- 由推行骨干对文件内容要求予以讲解培训,以确保各岗位人员理解和掌握。
|
4、中期培训
- 全员安全意识培训,ISMS实施推广培训,必要的考核。
|
(三)
运 行 阶 段 |
1、 监视和测量
- 迅速检测过程运行结果中的错误;
- 迅速识别试图的和得逞的安全违规和事件;
- 使管理者能够确定分配给人员的安全活动或通过信息技术实施的安全活动是否按期执行;
- 通过使用指示器,帮助检测安全事态并预防安全事件;
- 确定解决安全违规的措施是否有效。
- 在考虑安全审核结果、事件、有效性测量结果、所有相关方的建议和反馈的基础上,进行ISMS有效性的定期评审。
- 测量控制措施的有效性以验证安全要求是否被满足。
|
2、 认证申请
与认证机构磋商,准备材料申请认证,制定认证计划。 |
3、内审员培训
内审员的专业技能培训。 |
4、内部审核
- 内审输入
- 审核准备:组成审核组、审核方案的策划、审核计划的策划、编写检查单。
- 审核策划
- 审核实施:首次会议、审核活动(文件审查、现场审查)、不符合项确定、末次会议。
- 审核报告
- 纠正措施的实施和验证
- 归档保存
- 审核结果的使用
- 内审输出
|
5、管理评审
由总经理对体系整体运作状况予以评价,包括体系的适宜性、有效性和充分性,并对存在不符合予以制定纠正计划。
各责任部门对不符合予以改进、跟踪和验证,以进一步促使体系改进。 |
2.4企业建立体系时所需的硬件(部分)
- 灭火器(机房与财务室)
- 温湿度计(机房温湿度检测用)
- 服务器(项目服务器、测试服务器、域控服务器、邮件服务器、WEB服务器等……)
- 打印机(输出ISMS文件材料)
- 路由器、交换机(网络环境控制)
- 防火墙(软硬件防火墙皆可)
- PC机
- 网络环境(能够受控的、稳定的网络环境)
3. 审核认证
3.1 认证流程
3.2 认证申请条件
- 申请方应具有明确的法律地位
- 受审核方已经按照标准建立文件化的管理体系(包括质量手册、程序文件、内审资料、管理评审资料以及你程序文件要求的其它相关表单)
- 现场审核前,受审核方的管理体系至少有效运行三个月并进行了一次完整的内部审核和管理评审
3.3认证须提交的材料清单
法律地位证明文件(如企业法人营业执照、事业单位法人代码证书、社团法人登记证等),组织机构代码证书;
- 有效的资质证明、产品生产许可证强制性产品认证证书等(需要时)
- 组织简介(产品及与产品/服务有关的技术标准、强制性标准、使用设备、人员情况等)
- 申请认证产品的生产、加工或服务工艺流程图;
- 临时场所、多场所需提供清单;
- 管理手册、程序文件及组织机构图;
- 服务器数量以及终端数量;
- 适用性声明、资产列表
- 保密协议、信息安全敏感区域的声明;
- 支持ISMS的规程和控制措施、风险评估方法的描述、风险评估报告、风险处置计划、组织为确保其信息安全过程的有效规范/运行和控制以及描述如何测量控制措施的有效性所需的形成文件的规程
|