欢迎光临 佛山市沃博企业管理服务有限公司 官方网站
网站地图发布者: 沃博 时间:2022-10-17 15:56:03
信息安全管理体系(ISMS)是针对任何类型的组织用于建立、实施、运行、监控、审核、维护和改进信息安全的一个政策、程序、指南以及相关资源的框架。ISMS已经成为被国际标准化组织认可的国际标准、ISO/ IEC27000系列标准定义了信息安全管理体系(ISMS)的要求,奠定了信息安全管理体系的认证基础。标准解释的了整体计划 – 执行 – 检查 – 行动(PDCA)的方法,并为其实施提供了详细的指导。
ISO/IEC27001标准介绍定义了整个信息安全管理体系的范围和使用的词汇,并提供包括标准的出版物的目录。ISO/ IEC 27001对那些寻求独立ISMS认证的机构来说是一套正式的规范,ISO / IEC 27002包含一个组织用于应对信息安全风险被结构化的建议控制,ISO/ IEC2700X出版物为特定行业和情况管理信息安全提供指导。ISO/ IEC27002是由ISO/ IEC17799演变而来,ISO/ IEC17799是由英国标准BS7799演化而来,BS7799是信息安全管理方面的最佳实践。ISO27001新版标准在2013年底正式颁布。
对于一个组织来说,比较切实可行的第一步是建立信息安全管理框架。
按照英国国家标准局制定的BS7799-1《信息安全管理实践规范》和BS7799-2《信息安全管理体系规范》,可以帮助在组织中建立一个初步的、易于实施和维护的管理框架,在框架内通过安全管理标准,提供组织在信息安全管理的各环节上一个最佳的实践指导。
制定组织信息安全计划
安全组织建设计划
在一个组织内实施信息安全的第一步,是根据企业目标及安全方针,建立信息安全指导委员会。委员会要由组织高层领导挂帅,各职能部分相关负责人参加,定期召开会议,对组织内的信息安全问题进行讨论并作为决策,目的是为组织的信息安全提供指导与支持。
信息安全指导委员会的主要职能有:审批信息安全方针、政策,分配信息安全管理职责;确认风险评估,审批信息安全预算计划及设施的购置;评审与监测信息安全措施的实施及安全事故的处理;对与信息安全管理有关的重大更改事项进行决策,协调信息安全管理队伍与各部门之间的关系。
其次是建立一支专业、高效的信息安全管理的队伍,一般由信息安全主管为核心,并由信息安全日常管理、信息安全技术操作两方面的人员组成。在“911”事件以后,为了加强对安全的统一管理,在美国有一种把安全保卫部门与信息安全部门合并的趋势,许多大公司设置一个首席安全官(Chief Security Officer)职位,负责包括信息安全在内的所有安全事宜。由于首席安全官在组织的整体安全管理中有着举足轻重的作用,这就对首席安全官的管理素质、职业技能提出了全新的挑战。
安全预算计划
一般来说,没有特别的需要,为信息安全的投入不应超过信息化建设总投资额的15%,过高的安全成本将使安全失去意义。
由于网络技术的发展,网络攻击工具唾手可得,再加上组织对信息化的依赖性越来越强,这在某种程度上造成信息安全的信息防御的成本越来越高,而攻击的成本则越来越低。所以安全预算计划是一项具有挑战性的工作,要采用“适度防范”的原则,把有限的资金用在刀刃上。
在制订预算计划时考虑以下几点:
◆ 首先,不应把部署所有安全产品与技术作为目标,因为某些风险可能并不存在,某些风险组织可以容忍和接受。
◆ 其次,没有必要去为追求信息安全的零风险,加固所有的安全弱点,这些弱点可能因为成本、知识、文化、法律等方面的因素,没有人能利用它们。
◆ 第三,没有必要无限制地提高安全保护措施的强度,只需要将相应的风险降到可接受的程度即可。
◆ 对安全保护措施的选择还要考虑到成本和技术等因素的限制。
友情链接:
Copyright© 佛山市沃博企业管理服务有限公司 版权所有 粤ICP备11088590号
技术支持:万迪网络