淺析企業(yè)ISO27000信息安全管理體系建設(shè)

時(shí)至今日,“信息”作為一種商業(yè)資產(chǎn),其所擁有的價(jià)值對(duì)于一個(gè)企業(yè)而言毋庸置疑,重要性也是與日俱增.信息安全,按照國(guó)際標(biāo)準(zhǔn)化組織提出的ISO/IEC27000中的概念,需要保證信息的“保密性”、“完整性”和“可用性”.通俗地講,就是要保護(hù)信息免受來(lái)自各方面的威脅,從而確保一個(gè)企業(yè)或機(jī)構(gòu)可持續(xù)發(fā)展.

企業(yè)面臨的問(wèn)題

企業(yè)對(duì)于信息系統(tǒng)依賴性不斷增長(zhǎng),以及在信息系統(tǒng)上運(yùn)作業(yè)務(wù)的風(fēng)險(xiǎn),使得信息安全越來(lái)越得到重視.

然而事實(shí)上,目前企業(yè)所面對(duì)的信息安全狀況愈加復(fù)雜.病毒木馬、非法入侵、數(shù)據(jù)泄密、服務(wù)癱瘓、漏洞攻擊等安全事件時(shí)有發(fā)生.從便攜設(shè)備到可移動(dòng)存儲(chǔ),再到智能手機(jī)、PDA,以及無(wú)線網(wǎng)絡(luò)等,安全問(wèn)題出現(xiàn)的途徑也是千奇百怪.每一項(xiàng)新技術(shù),每一類新產(chǎn)品的推廣伴隨著新的問(wèn)題.企業(yè)在面臨著日趨復(fù)雜的威脅的同時(shí),遭受的攻擊次數(shù)也日益增多.

正因?yàn)槿绱?信息安全管理體系標(biāo)準(zhǔn)(ISO/IEC27000)的出現(xiàn)成為歷史必要,該標(biāo)準(zhǔn)經(jīng)過(guò)十多年的發(fā)展,已經(jīng)形成了一個(gè)完整規(guī)范的體系.對(duì)企業(yè)而言,建立信息安全管理體系,是一個(gè)非常系統(tǒng)的過(guò)程,從資產(chǎn)評(píng)估、風(fēng)險(xiǎn)分析、引入控制到后期的改進(jìn),呈現(xiàn)出一個(gè)非常邏輯的架構(gòu).

通過(guò)對(duì)大型企業(yè)CIO的調(diào)查顯示,他們普遍面對(duì)的問(wèn)題是,“我們很清楚的知道內(nèi)部的安全風(fēng)險(xiǎn)問(wèn)題,可是我們不知道怎么去識(shí)別并規(guī)避風(fēng)險(xiǎn).因此我們迫切希望引入信息安全管理體系,甚至于去獲得認(rèn)證.”

可以說(shuō),ISO27000信息安全管理體系的建立和健全,目的就是降低信息風(fēng)險(xiǎn)對(duì)經(jīng)營(yíng)帶來(lái)的危害,并將其投資和商業(yè)利益最大化.

ISO27000信息安全管理體系標(biāo)準(zhǔn)

2005年改版后的ISO/IEC27001共有133個(gè)控制點(diǎn),39個(gè)控制措施,11個(gè)控制域.其中11個(gè)控制域包括:

1)安全策略

2)信息安全的組織

3)資產(chǎn)管理

4)人力資源安全

5)物理和環(huán)境安全

6)通信和操作管理

7)訪問(wèn)控制

8)系統(tǒng)采集、開(kāi)發(fā)和維護(hù)

9)信息安全事故管理

10)業(yè)務(wù)連續(xù)性管理

11)符合性

可見(jiàn),信息安全不僅僅是個(gè)技術(shù)問(wèn)題,而是管理、章程、制度和技術(shù)手段以及各種系統(tǒng)的結(jié)合.實(shí)現(xiàn)信息安全不僅需要采用技術(shù)措施,還需要借助于技術(shù)以外的其它手段,如規(guī)范安全標(biāo)準(zhǔn)和進(jìn)行信息安全管理.

因此,企業(yè)在選擇合作伙伴的時(shí)候,就該找那種理解需求、真正能幫助解決問(wèn)題的,只有那種有著多年的咨詢和項(xiàng)目經(jīng)驗(yàn)、豐富的服務(wù)和產(chǎn)品的公司,才夠格成為可信任的伙伴.

普通的ISO27000顧問(wèn)公司,常常就是提供咨詢、解決方案,折騰一通后,再推薦一些產(chǎn)品.而產(chǎn)品的實(shí)際效能如何,是否能有效解決問(wèn)題,顧問(wèn)公司并不清楚.

而廠商,總是會(huì)推銷一大堆產(chǎn)品給企業(yè),而這些產(chǎn)品是否真的符合企業(yè)實(shí)際要求,成為各方爭(zhēng)論的焦點(diǎn).這些產(chǎn)品之間,或者會(huì)有功能重疊,又或者會(huì)有沖突和兼容性問(wèn)題.

解決方案

如今,一些廠商整合了豐富的知識(shí)和經(jīng)驗(yàn),提供客戶咨詢、運(yùn)營(yíng)、服務(wù)和產(chǎn)品等,幫助客戶成功,如國(guó)內(nèi)的冰峰網(wǎng)絡(luò).國(guó)內(nèi)的安全廠商通過(guò)更加務(wù)實(shí)的態(tài)度,以“保障關(guān)鍵應(yīng)用、提升IT價(jià)值”為理念,切實(shí)地理解客戶的需求,有效地幫助客戶解決問(wèn)題.

參照ISO/IEC27001,總結(jié)出了完整的信息安全模型.依據(jù)模型,企業(yè)可以得到一個(gè)細(xì)致的流程,再也不用摸黑走路.

通過(guò)咨詢,為客戶提供高端的ISO27000信息安全咨詢與評(píng)估服務(wù),識(shí)別出信息資產(chǎn)以及存在的風(fēng)險(xiǎn),找出所存在的問(wèn)題和深層次的需求,以便明確后續(xù)應(yīng)采取什么行動(dòng)去解決問(wèn)題.

采用產(chǎn)品,記者了解到冰峰網(wǎng)絡(luò)能提供全系列的產(chǎn)品,能保護(hù)企業(yè)的任意區(qū)域,如移動(dòng)用戶、遠(yuǎn)程分支、內(nèi)部網(wǎng)絡(luò)、很難管理的桌面和服務(wù)器、個(gè)人的行為狀況等.具有完善的功能模塊,有防火墻、VPN、IPS/IDS、內(nèi)容過(guò)濾、網(wǎng)絡(luò)行為管理等.利用這些功能模塊,企業(yè)能全局有效地管理安全,并跨系統(tǒng)、平臺(tái)和區(qū)域?qū)嵤┮恢碌牟呗?

委托運(yùn)營(yíng),針對(duì)一些自我管理和技術(shù)能力不強(qiáng)的企業(yè),委托運(yùn)營(yíng)是其最佳選擇.企業(yè)不再被具體的細(xì)節(jié)拖入泥沼中,只需提出問(wèn)題和希望的結(jié)果,所有的中間過(guò)程都由委托承擔(dān)者完成.

后續(xù)服務(wù),安全管理的實(shí)現(xiàn)肯定是個(gè)長(zhǎng)期的過(guò)程,那種完成項(xiàng)目就開(kāi)溜的做法,對(duì)企業(yè)來(lái)說(shuō)是種災(zāi)難.只有通過(guò)后續(xù)的服務(wù),不斷地改進(jìn),不斷地發(fā)現(xiàn)新問(wèn)題,才能推動(dòng)目標(biāo)不斷地前進(jìn).

總之,我們欣喜的看到,國(guó)內(nèi)的安全廠商通過(guò)積極努力,提供的整體解決方案,可增強(qiáng)企業(yè)主動(dòng)管理其信息安全的能力,降低企業(yè)信息所面臨的風(fēng)險(xiǎn).

結(jié)語(yǔ)

建立ISO27000信息安全管理體系并獲得認(rèn)證,能提高企業(yè)自身的安全管理水平,將企業(yè)的安全風(fēng)險(xiǎn)控制在可接受的范圍內(nèi),減少因安全時(shí)間帶來(lái)的破壞和損失.更重要的,是可以保證企業(yè)業(yè)務(wù)的持續(xù)性.

另一方面,合作在如今的商業(yè)社會(huì)是非常普遍.如果企業(yè)能向客戶及利益相關(guān)方展示對(duì)信息安全的承諾,不但能增強(qiáng)合作伙伴、投資方的信心,也可以向政府及行業(yè)主管部門(mén)證明對(duì)相關(guān)法律法規(guī)的符合,并能得到國(guó)際上的認(rèn)可.

選擇一款滿足企業(yè)實(shí)際需求的產(chǎn)品,才是選擇真正的ISO27000信息安全管理體系.

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://bqlw.net/zs/202109/ccaa_27696.html