在任何信息安全管理体系建立过程中,都可以把IS027001作为指导标准,根据其内容制定符合企业实际情况的信息安全管理体系。也有一些企业出于更好地遵从IS027001,建立相对更科学实用的信息安全管理体系等方面的考虑,往往把这项工作当作一个项目去做,接受IS027001的认证。本节描述实施ISO 27001的通用步骤
实施IS027001建立信息安全管理体系的通用步骤包括哪些环节?
在任何信息安全管理体系建立过程中,都可以把IS027001作为指导标准,根据其内容制定符合企业实际情况的信息安全管理体系。也有一些企业出于更好地遵从IS027001,建立相对更科学实用的信息安全管理体系等方面的考虑,往往把这项工作当作一个项目去做,接受IS027001的认证。以下是实施ISO 27001的一个通用步骤,供大家参考:
(1)项目启动
成立项目管理委员会和实施项目组,委员会中必须有企业的主要管理人员,实施的项目经理必须来自企业的业务管理部门。同时,项目实施的成功需要企业主要管理人员对信息安全管理体系框架及功能的确认、审批,没有主要管理人员的参与项目的运作可能会遇到困难并可能被无限期的延期,主要管理人员包括企业的各个层面:运营、技术、预算。
(2)信息安全管理体系(ISMS)定义
信息安全管理体系框架范围和限制条件定义是这个阶段的关键,这个阶段需要确定信息安全管理体系的需求并收集企业已经存在的信息安全管理文档资料。下面是可能涉及的资料列表:
安全策略文档资料;
策略制定相关的标准和审批手续(管理和技术方面);
风险评估报告;
风险处置计划。
目前ISMS中存在的信息安全控制和管理方面的说明文档资料,例如:审计日志、审计跟踪记录、计算机安全事件报告等等。
(3)风险评估
理解风险评估是实施信息安全管理体系框架的基础。这个阶段需要做如下事情:
诊断企业目前ISO27001标准的符合程度;
建立企业资产清单并评估需要保护的资产;
定义和评估企业面临的威胁和漏洞;
计算相关风险值。
(4)风险处置
这个阶段需要定义和评估处置风险的可用选项,通过选择和实施控制项将信息安全风险降低到企业可接受的程度。通常有如下四种风险处置的选项:
降低风险 (Risk Reduction):组织实施控制措施将风险降低到可接受的等级;
接受风险 (Risk Acceptance):组织计算出风险值并知道如何承担风险的后果;
规避风险 (Risk Avoidance):忽略风险不是正确的解决办法.然而风险可以通过将资产移出风险区域而避免风险发生或完全放弃可能产生安全弱点的商业活动来回避风险; 转移风险 (Risk Transfer):组织通过购买、保险或外包转移风险。
(5)意识提高和培训
组织必须确信在ISMS中的相关人员有能力并能保证质量地完成他们的任务。在这种情况下组织必须帮助企业员工建立信息安全意识,做到:
明确在企业涉及信息安全工作的人员需要掌握的技术;
提供适当的培训,如果必要可以雇佣有经验能够胜任工作的员工;
评估培训和培训后工作的有效性;
维护每个员工的教育、培训情况,掌握他们的能力、经验和资格。
(6)审计准备
这个阶段需要明确如何认证信息安全管理体系框架,根据ISO 27002/ISO27001的内容准备进行信息安全管理体系的内部审计。
(7)审计
这个阶段需要确定外部审计的步骤、选择外部审计机构及同审计机构一起工作实施外部审计。认证机构对企业的ISMS认证不少于两个阶段,除非有可以理解的特殊说明(如:对一个很小的组织的认证),认证审计有两个部分:
信息安全管理体系设计有效性审计;
信息安全管理体系执行有效性审计。
(8)控制和持续改进
ISO27001标准适合PDCA模式,这个阶段的任务是对信息安全管理体系定期执行检查更新,因为安全是在随时发生变化的,以保证信息安全管理体系的持续有效性。
ITGov专家多年研究认为,信息安全管理体系的实施需要注意以下几个问题:
第一,重证书获得,轻改进完善。信息安全管理体系是一个循序渐进、不断完善的过程,如果不重视检查改进工作,将会使安全体系变成一个死体系,从而留下安全死角。
第二,重体系建设,轻人员的培养和配备。信息安全管理体系,需要人来管理和运维,没有人或人员的意识、技能不够,信息安全管理体系将变成一盘散沙。
第三,重建章立制,轻执行落实。不要先质疑制度的完善性,而应该先把制定的安全制度执行和落实。一个正在执行的制度,永远比书架上的完美制度要有价值。
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved