会员中心 网站导航 网站公告 设为首页 加入收藏  
内审员培训|内审员资格证|内审员考试|iso内审员|iso9000内审员--全国注册内审员培训网
  首页 在线留言
内审员培训|内审员资格证|内审员考试|iso内审员|iso9000内审员--全国注册内审员培训网内审员培训|内审员资格证|内审员考试|iso内审员|iso9000内审员--全国注册内审员培训网内审员培训|内审员资格证|内审员考试|iso内审员|iso9000内审员--全国注册内审员培训网
内审员培训|内审员资格证|内审员考试|iso内审员|iso9000内审员--全国注册内审员培训网 北京 | 上海 | 天津 | 重庆 | 广东 | 江苏 | 浙江 | 河北 | 山西 | 安徽 | 山东 | 江西 | 福建 | 湖南 | 湖北 | 河南 | 四川 | 贵州 | 云南 | 黑龙江 | 辽宁 | 吉林 | 广西 | 海南 | 陕西 | 甘肃 | 宁夏 | 青海 | 内蒙古 | 新疆 | 西藏 | 全国统一免费咨询电话:400-623-9001
内审员培训|内审员资格证|内审员考试|iso内审员|iso9000内审员--全国注册内审员培训网
  首页>>ISO27001信息安全>>认证 
ISO27001在日企外包行业的实践探讨
2011-3-27 11:51:17  | 文字【 】【打印
 
 
 
《ISO27001:2005信息安全管理体系规范》国际标准发布之后,ISO27001成为炙手可热的企业信息安全管理体系建设蓝本,各行各业,特别是外包行业,开始广泛参照该标准并结合企业的实际情况,对信息安全活动进行全面的管理,期望提升安全管理水平。但是现实与理想总是存在差距,尽管可以用ISO27001指导各行各业的安全管理活动,但是并不是包治百病的良药,比如制度难以落实,控制失效等等。是洋标准水土不服还是“病人”身子板太差?作为信息安全咨询顾问,本人有幸主导实施了多个软件外包公司的ISMS(信息安全管理体系)建设项目并跟踪了ISMS在企业的推进情况,颇有感受,在此与大家探讨。
1.       ISMS如何结合企业环境
企业按照ISO27001建立组织的信息安全管理体系时,要么聘请外部咨询顾问,要么让企业内部有体系建设经验的专业人士实施,当项目完成之后,企业的安全管理框架基本建立,但是在体系运行过程当中还存在种种问题,主要表现如下:
1)         安全制度难以落实执行;
2)         推行过程困难重重,很多活动留与形式;
ISMS(信息安全管理体系)运行成果的好坏,诚然,由两个方面所决定,一方面是ISMS搭建者的能力,另一方面是企业的内部环境。从PDCA的思路来看的话,归根到底还是取决与企业的内部环境。人们常说要量体裁衣,建设有效的ISMS必须考虑企业的实际情况。那么建设ISMS时,需要考虑哪些企业环境信息呢?
1)         企业组织架构,包括决策,权利分配,责任分工;
曾经碰到这么一个客户,他们的ISMS建设由质量管理部门来主导实施,但是质量管理部门由开发本部直接领导。试想一下,下级部门督促监督上级部门做某项“费力”的工作,在这么一个环境中推行安全改进其困难何其大。
2)         全体员工的安全意识水平
员工的信息安全意识简单说是能够对可能发生的安全事件保持一定的警惕心;发散开来可以理解为以下几个层次:就是能够认知可能存在的安全问题,明白安全事故对组织的危害,恪守正确的行为方式,并且清楚在安全事故发生时所应采取的措施;
3)         企业文化
企业环境的因素中非常重要的是企业文化,企业文化主导了员工行为方式和企业对外形象,或规范、或随意等等。在华日企外包企业应该说传承了日本企业的基本的文化特点,体现在:
1)         看重企业诚信,诚信可以成为企业成败的关键
在日本,企业如果发生信息泄露等信息安全事件,按规定是要主动向有关政府部门报告的,如果隐瞒不报一旦被发现将会严重影响公司信用,后果是十分严重的。不二家这个创立于1910年的西点食品连锁企业,就是因为隐瞒使用过期原料进行生产的事实被曝光而发生严重的信用危机,砸了自己的百年老字号,现在超市已经看不到不二家的东西了。
2)         企业非常重视信息安全
从ISMS International User Group对全球通过ISO27001认证的企业数目上可以看出,日本到当前为止已有2800家企业,占全球通过企业数的50%以上。参看来自下表。由此可见日本企业对信息安全的重视;另外,在05年4月生效的《个人信息保护法》是日本保护个人信息安全的根本法律,企业从各种方面加强了对个人信息的保护。在华日企外包公司主要为日本提供外包服务,客户如此重视信息安全,外包企业不跟上形吗?
Number of certificate per country (来自ISMS International User Group)
 
那么建设ISMS(信息安全管理体系)时如何考虑环境因素并最终把安全体系嵌入企业环境中呢?
1)         建立合理的信息安全组织架构
合理的信息安全组织架构应该包含三个层次,决策层、管理层和执行层;从角色上来讲可以分为普通员工、信息安全专业人员、安全审核员;信息安全是“一把手”工程,由企业的总经理直接挂帅领导。
2)         建立全员信息安全教育和培训制度
一方面按照企业人员级别以及业务性质的不同,对不同人员实施不同侧重内容的培训,关注不同级别人员对信息安全的关注点;另一方面,实现员工在企业整个就业期间,实施不间断的持续培训,从员工入职到最后离开企业。当然,在安全教育和培训方面,不必拘泥与形式,除了正常的集中人员面对面的培训之外,还可以采取网络教程,flash动画、张贴墙报、定期发送电子报、开展信息安全知识竞赛等等。通过多方式,全方位的宣传和教育,把信息安全融入到企业文化当中。
3)         让员工承诺负责
让员工咨询阅读与其业务相关的安全策略,让员工承诺遵守公司的安全制度并签字;
2.       ISMS(信息安全管理体系)如何从业务需求出发
企业从事信息安全的人员在业务部门往往不怎么受欢迎,因为在业务部门的眼中,信息安全捆绑了业务发展的手脚,降低了工作的效率。这是误解呢还是事实呢?显然,对于信息安全从业人员来说,无疑伤了他们的积极性,信息安全的目的不但没有达到,反而逆其道而行之。归其原因,主要是信息安全控制与业务需求脱钩;
外包公司的主要业务是承接了客户业务链中的某个环节业务,而外包公司所提供的这些服务的失败可能会影响到发包公司整个业务。比如软件外包,这可能会涉及到某些具有知识产权的技术,也可能会涉及到客户数据的机密,也有可能会涉及到某些商业秘密等;那么ISMS如何满足业务需求呢?
1)         分析业务驱动
业务驱动是指在信息安全方面业务开展的需求,软件外包公司的业务驱动主要包括以下方面:
ü 发包方与接包方之间在信息安全方面要建立广泛的信任,必须要引入信任的第三方;
ü 发包企业往往是跨国或者高科技企业,其自身对信息安全要求很高;
ü 提供一个安全的开发环境,开发团队使用的信息系统不至于遭受外包恶意软件的攻击而不能正常工作;
ü 互联网的环境,软件系统面临更多的威胁,需要开发出安全的软件(软件功能健壮,不存在严重的安全漏洞);
ü 保障客户信息的机密性;
ü 保持邮件系统7×24小时正常运行,与客户保持良好信息沟通;
ü 保持网络通畅,保证开发团队(发包方与接包方)能够正常协同开发;
ü 维护客户知识产权;
ü 保障与开发系统相关的一切设计文档、源代码的机密性;
ü 保持开发团队的相对稳定性;
ü 出差人员能够通过安全的方式访问企业内部信息;
 
2)         明确业务属性
业务属性是指那些企业想要保护或者支持的事务。业务属性可以从用户属性、运维属性、风险管理属性、法律法规属性、业务战略属性等几个方面来看。
用户属性是指用户在系统中的信息安全的体验,这里的“用户”主要是指软件工程师,软件项目管理人员。运维属性是指企业日常运行的安全;风险管理属性指要识别的安全需求的集合以及管理业务风险;法律属性涉及符合性问题;业务战略属性是指高层管理和股东对于公司以后发展的想法;下面,摘取业务属性的一二略加展开。
 

分享到:

全国统一报名咨询电话: 400-623-9001(手机、固话均可24小时免费拨打)
报名咨询QQ: 
邮 箱:ccaa@isopx.cn(接收报名资料)

>>上一篇: 已是第一篇        
>>下一篇: ISO27001服务解决方案   
 
友情链接/合作院校  

            
关于我们| 会员服务 | 广告服务 | 隐私声明 | 服务条款 | 联系我们
© 2011 Copyright 全国注册内审员培训网版权所有 ICP 备案号:11006857
全国统一服务电话:400-623-9001 你是本站第: 位访问者
未经授权禁止转载:本网站任何文章、数据、图片、摘编、复制或建立镜像.如有违反,将承担所有法律责任并赔偿本网站的全部损失。
本站常年法律顾问: 黄兴德 律师执业证号:19011523008560