ISO 27001信息安全管理体系标准
ISO 27001信息安全管理体系标准的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。2005年,BS7799-2:2002被国ji标准化组织(ISO)组织所采纳,于同年10月推出ISO/IEC27001:2005。目前现行的ISO27001:2013标准于2013年10月19日由国ji标准化组织(ISO)正式颁布实施,新的版本近期会更新发布。
ISO 27001信息安全管理体系标准规定了建立、实施和文件化信息安全管理体系的要求,根据独立组织的需要应实施信息安全控制的要求,全面或部分信息安全管理体系评估的基础。目前,在信息安全管理方面,ISO27001已经成为世界上应用蕞广泛与典型的信息安全管理标准。
自2005年国ji标准化组织(简称:ISO)将BS 7799转化为ISO27001发布以来,此标准在国际上获得了空前的认可,相当数量的组织采纳并进行了信息安全管理体系的认证, 至2011年底,国际上颁发的ISO27001认证证书总数约为15625张,截止2022年9月30日,全国有效信息安全管理体系认证证书量已达到32542张,同时,蕞近五年,ISO27001证书量同比增幅远超其他体系。越来越多的行业和组织认识到信息安全的重要性,并把它作为基础管理工作之一开展起来,成为企业核心竞争力的重要标志。
如何建立信息安全管理体系?
首先是确立管理体系适用的范围
需要覆盖公司的各个职能部门,也可以覆盖公司信息系统相连的外部机构,如供应商、合作伙伴等。同时从系统层次考虑覆盖网络系统、服务器平台系统、应用系统、数据、安全管理以及支撑信息系统的场所和所处的周边环境及场所内保障计算机系统正常运行的设施设备等。
企业安全管理类的风险评估
安全管理类风险评估的内容包括ISO27001信息安全管理体系相关的11个方面,包括信息安全策略、安全组织、资产分类与控制、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发与维护、安全事件管理、业务连续性管理、符合性。
企业安全技术类的风险评估
安全技术类评估是基于资产安全等级的分类,通过对信息设备进行的安全扫描、安全设备的配置,检查分析现有网络设备、服务器系统、终端、网络安全架构的安全现状和存在的弱点,为安全加固提供依据。
规划体系建设方案
规划体系建设方案是在风险评估的基础上,对企业中存在的安全风险提出安全建议,增强系统的安全性和抗攻击性。
信息安全体系的建设与运行
信息安全体系是在信息安全模型与企业信息化的基础上建立的,体系应该兼顾内外安全的功能。规划信息安全技术可以从安全基础设施、网络、系统、应用等四个方面进行规划。
持续性改进
ISO27001认证标准的信息安全管理体系文件编制完成以后,按照文件控制的要求进行审核批准,向各部门发放先行有效的体系文件,保留体系运行过程中的记录,并定期进行内审和管理评审,对不符合或潜在不符合项进行纠正和预防措施,不断改进信息安全管理体系。
通过ISO27001认证的好处
组织实施信息安全管理体系,通过ISO27001标准认证,表示企业已经建立了一套科学有效的体系作为保障,为企业带来全面的价值提升,包括但不限于以下五个方面:
提升企业品牌形象
企业实施信息安全管理体系并通过第三方认证机构相关认证,能向公众和外部客户展示自身的管理水平,能向外部证明自身管理能力符合相关信息安全标准及相关法律法规的要求,体现企业较于同业企业的竞争优势。
其他资质前置条件
目前有许多IT行业内通用的证书如业务连续性管理体系(ISO22301)、 云服务信息安全管理体系、(ISO27017)云隐私保护体系、(ISO27018)隐私信息安全管理体系(ISO27701)、个人身份信息保护管理体系(ISO21951)、国际云安全认证(C-STAR)等,在申报这些认证证书时,申报企业需要提前建立ISO27001管理体系并通过第三方认证。
提高企业信息安全管理能力
通过实施ISO27001,按照PDCA模型建立信息安全管理自我约束机制,有助于企业识别信息安全风险并加改进规避,减少可能存在的安全隐患,降低潜在安全事件发生给企业带来的损失,规范企业各个部门各个岗位的职责,提升员工信息安全意识,不断改善,有效预防,蕞终实现组织的良性发展。
满足市场准入需求
各类体系认证证书是IT行业招投标的敲门砖,不同证书在不同的投标标的会有不同的分数占比。部分项目标的甚至明确要求ISO27001认证证书作为准入门槛。
获取政府财务支持
为相应国家相关行业政策,推进区域企业高质量发展,鼓励企业提升自身信息安全管理能力,各地主管部门对本地区通过第三方认证的企业有不同的财务补贴政策。