ISO/IEC27001是信息安全管理體系的標準,該標準基于風險評估,建立、實施、運行、監視、評審、保持和持續改進信息安全等一系列的管理活動。ISO27001管理體系主要針對信息安全中的系統漏洞、黑客入侵、病毒感染等內容進行保護,是全球應用最廣泛與典型的信息安全管理標準。該標準通過嚴格的審查標準和權威的認證體系,為組織提供了一個建立、實施、運行、監視、評審、保持和改進信息安全管理體系(ISMS)的模型。
ISMS的采用是組織的戰略性決策,其設計與實施受組織需求、目標、安全需求、應用的過程以及組織規模和結構的影響。ISO27001信息安全管理體系的目標是通過整體規劃的信息安全解決方案,確保企業所有信息系統和業務的安全,并保持正常運作。該標準運用風險分析管理工具,結合企業資產列表和威脅來源的調查分析及系統安全弱點評估等結果,制定適當的信息安全政策與信息安全作業準則,從而降低潛在的安全風險危機。總的來說,ISO27001是信息安全管理的有效工具,有助于組織保障其業務和系統的安全,使其免受潛在的威脅和攻擊。
ISO27001認證適用行業如下:
1.以信息為生命線的行業金融行業(銀行,保險,證券,基金,期貨等)通信行業(電信,網通,移動,聯通等)皮包公司(外貨,進出口,HR,獵頭,會計事務所)。
2.對信息技術依賴度高的行業鋼鐵,半導體,物流電力,能源外包(ITO或BPO):IT,軟件,電信IDC,呼叫中心,數據錄入,數據處理加工等。
3.工藝技術要求高、競爭對手渴望得到的醫藥,精細化工研究機構引入信息安全管理體系就可以協調各個方面信息管理,從而使管理更為有效。保證信息安全不是僅有一個防火墻,或找一個24小時提供信息安全服務的公司就可以達到的,他需要全面的綜合管理。
ISO27001信息安全管理體系建立
建設ISO27001需要按照以下步驟進行:
確立范圍:明確需要覆蓋的機構和系統范圍,包括總部、各事業部、制造本部、技術本部等內部機構,以及與公司信息系統相連的外部機構,如供應商、中間業務合作伙伴等。同時,還要考慮物理環境、網絡系統、服務器平臺系統、應用系統、數據、安全管理和開發安全等方面的內容。
風險評估:基于資產安全等級的分類,通過安全技術評估對現有網絡設備、服務器系統、終端和網絡安全架構的安全狀況和薄弱環節進行檢查和分析,為安全加固提供依據。
系統建設方案的規劃:在風險評估的基礎上,針對企業存在的安全風險提出安全建議,規劃系統建設方案以提高系統的安全性和抗攻擊能力。
信息安全體系建設與運行:以信息安全模式和企業信息化為基礎,兼顧內外部安全功能。規劃信息安全技術可以從安全基礎設施、網絡、系統和應用四個方面進行規劃。
總的來說,建設ISO27001需要全面規劃信息安全管理體系,從確立范圍、風險評估、系統建設方案的規劃到信息安全體系建設與運行的各個方面都需要詳細考慮和落實。