会员中心 网站导航 网站公告 设为首页 加入收藏  
内审员培训|内审员资格证|内审员考试|iso内审员|iso9000内审员--全国注册内审员培训网
  首页 在线留言
内审员培训|内审员资格证|内审员考试|iso内审员|iso9000内审员--全国注册内审员培训网内审员培训|内审员资格证|内审员考试|iso内审员|iso9000内审员--全国注册内审员培训网内审员培训|内审员资格证|内审员考试|iso内审员|iso9000内审员--全国注册内审员培训网
内审员培训|内审员资格证|内审员考试|iso内审员|iso9000内审员--全国注册内审员培训网 北京 | 上海 | 天津 | 重庆 | 广东 | 江苏 | 浙江 | 河北 | 山西 | 安徽 | 山东 | 江西 | 福建 | 湖南 | 湖北 | 河南 | 四川 | 贵州 | 云南 | 黑龙江 | 辽宁 | 吉林 | 广西 | 海南 | 陕西 | 甘肃 | 宁夏 | 青海 | 内蒙古 | 新疆 | 西藏 | 全国统一免费咨询电话:400-623-9001
内审员培训|内审员资格证|内审员考试|iso内审员|iso9000内审员--全国注册内审员培训网
  首页>>ISO27001信息安全>>标准 
ISO27001:2005标准的实施步骤与控制重点
2011-3-27 11:38:14  | 文字【 】【打印
 
  随着信息技术的迅猛发展和网络的普及,我们的工作和生活方式都得到彻底改变,技术的进步在给我们带来便利的同时也带给我们无尽的烦恼,每天都有许多信息安全被破坏的报告,据调查统计80%的信息安全事故来自人们对网络安全知识的缺乏和内部管理的漏洞,因此如何利用网络进行安全的通信,成为当前信息安全迫切需要解决的问题。
ISO27001:2005标准告诉我们如何评定安全风险,建立信息安全管理体系,选择适宜的控制方法来确保将风险减少到可以接受的程度。
一、ISO27001:2005标准的由来
1995年,英国标准协会(BSI)首次出版BS 7799-1《信息安全管理实践指南》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,1998年公布标准的第二部分BS 7799-2《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,是一个组织的全面或部分信息安全管理体系评估的基础,可作为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时强调了商务涉及的信息安全及信息安全的责任。2000年12月,BS7799-1:1999《信息安全管理实践指南》通过了国际标准化组织ISO的认可,正式成为国际标准——ISO/IEC17799-1:2000《信息技术-信息安全管理实施细则》。2002年9月5日,BS7799-2:2002草案经过广泛的讨论之后,终于发布成为正式标准,同时BS7799-2:1999被废止。2005年11月ISO27001:2005出版,取代了BS 7799-2:2002标准。
二、信息安全事件应对方法
信息安全事件传统应对方法是,哪里出现问题,立即用技术手段去那里把问题解决。而ISMS(信息安全管理体系)方法是,事先进行风险的识别与评估,进行战略部署,采取防范措施(见表1)。
三、ISO27001:2005的实施步骤
ISO27001:2005标准的实施步骤(见图1)。
 
ISO27001:2005标准采用PDCA模式:1)策划(建立ISMS):根据组织的整体方针和目标,建立安全策略、目标以及与管理风险和改进信息安全相关的过程和程序,以获得结果;2)实施和运行ISMS:实施和运行安全策略、控制、过程和程序;3)检查(监视和评审ISMS):适用时,根据安全策略、目标和以往经验评估和测量过程业绩,向管理层报告结果,进行评审;4)保持和改进ISMS:根据内审、管理评审和其他信息采取纠正和预防措施,实现ISMS的持续改进(见表2)。
四、ISO27001:2005的控制重点
1、安全方针:制定信息安全方针,为信息安全提供管理指导和支持,并定期评审。
2、信息安全组织:建立信息安全基础设施,来管理组织范围内的信息安全;维护被第三方所访问的组织的信息处理设施和信息资产的安全,以及当信息处理外包给其他组织时,确保信息的安全。
3、资产管理:核查所有信息资产,做好信息分类,确保信息资产受到适当程度的保护。
4、人力资源安全:确保所有员工、合同方和第三方了解信息安全威胁和相关事宜,他们的责任、义务,以减少人为差错、盗窃、欺诈或误用设施的风险。
5、物理与环境安全:定义安全区域,防止对办公场所和信息的未授权访问、破坏和干扰;保护设备的安全,防止信息资产的丢失、损坏或被盗,以及对业务活动的干扰;同时还要做好一般控制,防止信息和信息处理设施的损坏或被盗。
6、通讯和操作管理:制定操作规程和职责,确保信息处理设施的正确和安全操作;建立系统规划和验收准则,将系统失效的风险减到最低;防范恶意代码和移动代码,保护软件和信息的完整性;做好信息备份和网络安全管理,确保信息在网络中的安全,确保其支持性基础设施得到保护;建立媒体处置和安全的规程,防止资产损坏和业务活动的中断;防止信息和软件在组织之间交换时丢失、修改或误用。
7、访问控制:制定文件化的访问控制策略,避免信息系统的未授权访问,并让用户了解其职责和义务,包括网络访问控制、操作系统访问控制、应用系统和信息访问控制、监视系统访问和使用,定期检测未授权的活动;当使用移动办公和远程工作时,也要确保信息安全。
8、信息系统的获取、开发和维护:标识系统的安全要求,确保安全成为信息系统的内置部分;控制应用系统的安全,防止应用系统中用户数据的丢失、被修改或误用;通过加密手段保护信息的保密性、真实性和完整性;控制对系统文件的访问,确保系统文档的安全;严格控制开发和支持过程,维护应用系统软件和信息的安全。
9、信息安全事故的管理:报告信息安全事件和弱点,及时采取纠正措施,确保使用持续有效的方法管理信息安全事故。
10、业务连续性管理:目的是为了减少业务活动的中断,使关键业务过程免受主要故障或天灾的影响,并确保他们的及时恢复。
11、符合性:信息系统的设计、操作、使用和管理要符合法律要求,符合组织安全方针和标准,还要控制系统审核,使系统审核过程的效力最大化,干扰最小化。
五、ISMS实施成功的因素(见图2)
在有限的资金条件下,企业该如何做到投入与安全的平衡?目前很多网络安全技术还处于探索阶段,如果人云亦云地简单购买安全产品,那这个所谓的“IT黑洞”永远无法填满,信息安全管理是填补“IT黑洞”最经济有效的方式。虽然我国没有将ISO27001:2005作为强制性国家标准引入,而是作为推荐性标准推行,但组织仍然可以将ISO27001:2005作为衡量信息安全管理体系规范程度的一个标准和指标。
建立信息安全管理体系并获得经认可的认证公司的认证,不仅能提高组织自身的安全管理水平,将企业的安全风险控制在可接受的程度,减小信息安全遭到破坏带来的损失,保证业务的可持续运作,并且能向客户及利益相关方展示组织对信息安全的承诺,增强投资方和股票持有者的投资信心,树立和增强企业的信息安全形象,提高企业的综合竞争力。
从1998年颁布BS 7799-2后,在全世界范围内得到广泛的认可,很多国家和地区开展了信息安全管理体系认证,不受地域、产业类别和公司规模的限制,获得认证的企业较多分布在电信、保险、银行、数据处理中心、IC制造和软件外包等行业。获得认证的好处是,保护企业的知识产权、商标、竞争优势;维护企业的声誉、品牌和客户信任;减少潜在的风险隐患,减少信息系统故障、人员流失带来的经济损失;强化员工的信息安全意识,规范组织的信息安全行为;在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度。

分享到:

全国统一报名咨询电话: 400-623-9001(手机、固话均可24小时免费拨打)
报名咨询QQ: 
邮 箱:ccaa@isopx.cn(接收报名资料)

>>上一篇:ISO27001标准的主要内容        
>>下一篇: ISO/IEC 17799 和ISO/IEC 27001标准介绍   
 
友情链接/合作院校  

            
关于我们| 会员服务 | 广告服务 | 隐私声明 | 服务条款 | 联系我们
© 2011 Copyright 全国注册内审员培训网版权所有 ICP 备案号:11006857
全国统一服务电话:400-623-9001 你是本站第: 位访问者
未经授权禁止转载:本网站任何文章、数据、图片、摘编、复制或建立镜像.如有违反,将承担所有法律责任并赔偿本网站的全部损失。
本站常年法律顾问: 黄兴德 律师执业证号:19011523008560