1、什么是ISMS
信息安全管理体系(Information Security ManagementSystem,简称ISMS)起源于英国标准协会(British Standards Institution, BSI)1990年代制定的英国国家标准BS7799,是系统化管理思想在信息安全领域的应用。
随着国际标准化组织(ISO)和国际电工学会(IEC)联合将BSI的相关工作转化为ISMS国际标准(ISO/IEC27001:2005),ISMS 迅速得到全球各类组织的接受和认可,成为世界不同国家和地区、不同类型、不同规模的组织解决信息安全问题的有力武器。ISMS证书也成为组织向其客户、合 作伙伴等各种相关方及社会大众证明其信息安全能力和水平的标志。
2、为什么需要ISMS
我们已经身处信息时代,计算机和网络已经成为各类组织不可或缺的工具,信息成为组织赖以生存的重要资产,价值与日俱增,与此同时也面临各种各样、越来越多 的安全威胁。病毒破坏、黑客攻击、网络欺诈、重要信息资料丢失、信息系统瘫痪以及利用计算机网络实施的各种犯罪行为层出不穷、防不胜防。信息资产一旦遭到 破坏,将给组织带来直接的经济损失,并导致组织的声誉和公众形象受到损害,使组织丧失市场机会和竞争力,甚至威胁组织的生存。因此,组织必须解决信息安全 问题,有效保护信息资产。
2000年12月,国际标准化组织(ISO)和国际电工学会(IEC)联合发布第一个信息安全管理国际标准ISO/IEC17799:2000“信息安全 管理实用规则(Code of practice for information securitymanagement)”。2005年6月,ISO和IEC对该标准进行修订,发布ISO/IEC17799:2005信息安全管理实用 规则(为与随后发布的ISO/IEC 27001:2005相一致,2007年将其改为ISO/IEC27002:2005)。2005年10月,发布ISO/IEC 27001:2005“信息安全管理体系要求(InformationSecurity Management System Requirements)”。
自此,ISMS在国际上得到正式确立并蓬勃发展。如今ISMS已经成为信息安全领域的热门话题。基于国际标准ISO/IEC27001:2005的信息安 全管理体系(Information Security Management System,ISMS)是目前国际上得到公认的先进的信息安全解决方案,已为越来越多的组织所采用。
ISO/IEC27001:2005根植于PDCA管理体系改善模式,指导组织系统地从133项信息安全控制措施中选择适合组织自身信息安全要求的控制措施,以帮助组织解决信息安全问题,实现信息安全目标。
为了保障组织信息安全,在计划(Plan)阶段,组织需要进行风险评估以了解组织的信息安全需求,并根据需求设计解决方案;在实施(Do)阶段,组织将解 决方案付诸实现;在检查(Check)阶段,需要持续监视和审查解决方案的有效性;在措施(Act)阶段,对所发现的问题并结合组织内、外部环境的变化予 以解决,以持续提升组织的信息安全。
通过螺旋式的提升过程,组织就能将不断变化的的信息安全需求和期望转化为可管理的信息安全实现。
3、什么是ISMS认证
所谓认证,即由可以充分信任的第三方认证机构依据特定的审核准则,按照规定的程序和方法对受审核方实施审核,以证实某一经鉴定的产品或服务符合特定标准或规范性文件的活动。
针对ISO/IEC 27001的受认可的认证,是对组织的ISMS符合ISO/IEC 27001要求的一种认证。这是一种通过权威的第三方审核之后提供的保证:受认证的组织实施了ISMS,并且符合ISO/IEC27001标准的要求。通 过认证的组织,将会被注册登记。
4、为什么要进行ISMS认证
根据CSI/FBI 的Computer Crime and Security Survey2005中的统计,65%的组织至少发生了一次信息安全事故,而在这份报告中同时表明有97%的组织部署了防火墙,96%组织部署了防病毒软 件。可见,我们传统的信息安全技术手段并不奏效,信息安全现状不容乐观。
实际上,只有在宏观层次上实施了良好的信息安全管理,即采用国际上公认的最佳实践或规则集等,才能使微观层次上的安全,如物理措施等,实现其恰当的作用。采用ISMS标准并得到认证无疑是组织应该考虑的方案之一。
1、预防信息安全事故,保证组织业务的连续性,使组织的重要信息资产受到与其价值相 符的保护,包括防范:
? 重要的商业秘密信息的泄漏、丢失、篡改和不可用;
? 重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断。
2、节省成本。一个好的ISMS不仅可通过避免安全事故而使组织节省成本,而且也能帮助组织合理筹划信息安全费用支出,包括:
? 依据信息资产的风险级别,安排安全控制措施的投资优先级;
? 对于可接受的信息资产的风险,不投资安全控制。
3、保持组织良好的竞争力和成功运作的状态,提高在公众中的形象和声誉,最大限度的增加投资回报和商业机会,增强客户、合作伙伴等相关方的信任和信心。
ISMS认证有助于组织节约信息安全成本,增强客户、合作伙伴等相关方的信心和信任,提高组织的公众形象和竞争力,有助于管理和保护组织宝贵的信息资产。
5、ISMS认证的适用范围
ISO/IEC 27001标准适用于所有类型的组织(例如,商业企业、政府机构、非赢利组织)。ISO/IEC27001从组织的整体业务风险的角度,为建立、实施、运 行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。任何组织,不论其规模大 小,所属行业或地理位置如何,均可采纳ISO/IEC27001标准。该标准尤其适合对信息安全有较高要求的行业,例如金融、健康、公共事业及IT行业。 ISO/IEC27001对于代表他方管理信息的组织(例如IT外包公司)也十分有效:它可用于使发包方有足够的信息确信其信息得到接包方的有效保护。
5、实施ISMS的收益
获得ISO/IEC 27001证书,可以为组织带来以下收益:
? 证明组织可以独立保证内部控制,同时符合公司治理和业务连续性要求;
? 充分证明组织遵守适用的法律法规;
? 通过符合合同要求,并向客户证明它们的信息安全是组织的头等大事,从而带来竞争优势;
? 充分证明组织的风险已得到正确的识别、评估和管理,同时使信息安全流程、程序和文档得到正式化;
? 证明组织的高级管理层在信息维护方面所作的承诺;
? 定期评估过程有助于组织持续监控绩效与改进。
注: 如果组织仅声明遵守ISO/IEC 27001或者业务规范标准ISO/IEC27002中的建议,将无法实现上述认证收益。
6、政府相关补贴政策
为了鼓励服务外包企业(ITO,BOP,KPO),从中央到地方各级政府推出一系列针对ISO27001认证的鼓励政策:
商务部-服务外包企业 财企[2011]69号--(四)对服务外包企业取得的开发能力成熟度模型集成(CMMI)、开发能力成熟度模型(CMM)、人力资源成熟度模型 (PCMM)、信息安全管理(ISO27001/BS7799)、IT服务管理(ISO20000)、服务提供商环境安全性(SAS70)、国际实验动物 评估和认可委员会认证(AAALAC)、优良实验室规范(GLP)、信息技术基础架构库认证(ITIL)、客户服务中心认证(COPC)、环球同业银行金 融电讯协会认证(SWIFT)、质量管理体系要求(ISO9001)、业务持续性管理标准(BS25999)等相关认证及认证的系列维护、升级给予支持, 每个企业每年最多可申报3个认证项目,每个项目不超过50万元的资金支持。
苏州经信委 -软件及集成电路企业 --《关于推进软件产业和集成电路产业跨越发展的实施意见2011-2013》
鼓励企业开展信息安全管理(ISO27001)认证、CMMI认证等资质认证工作。对通过ISO27001认证的企业一次性奖励5万元,对通过CMMI三级以上认证的企业一次性奖励20-40万元。
苏州工业园区经济贸易发展局-- 服务外包企业-- 苏园管〔2010〕18号
鼓励服务外包企业通过CMM/CMMI、PCMM、ISO27001、CMA、GLP、GCP、GMP、ISO20000、SAS70等服务标准国际认 证。对当年获得国际认证或认证升级的,给予部分认证费用补贴,最高不超过50万元。CMM/CMMI认证奖励按《关于加快苏州工业园区软件产业和集成电路 设计产业发展的试行办法》相关规定执行。
7、建立ISMS的具体步骤
不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体情况,采取不同的步骤和方法。总体上,建立信息安全管理体系一般要经过下列PDCA四个基本阶段:
Plan 信息安全管理体系的策划与准备;
Do 信息安全管理体系文件的编制;
Check 信息安全管理体系运行;
Act 信息安全管理体系审核、评审和持续改进。
联系电话:叶小姐 13584882490 QQ:997407315