关于构建ISO27001信息安全管理体系的意义
2015-08-15胡鹏中石化湖北石油分公司湖北武汉430000
胡鹏(中石化湖北石油分公司,湖北 武汉 430000)
1 ISO27001信息安全管理体系的内涵简述
1.1 ISO27001信息安全管理体系的起源与发展简述
随着全球信息化水平不断提高,信息安全逐渐成为社会各界的关注重点。尤其是在近些年一系列信息安全问题被媒体曝光之后,各行各业均加大了对信息安全的担忧。ISO27001标准于1993年由英国贸易工业部立项,在1995首次出版了BS 7799-1:1995《信息安全管理实施细则》,该细则提供了一套完整的、由信息安全惯例所构建的信息安全管理体系。其目的是为了确定工商业信息系统在绝大部分情况下的所需控制范围具有统一的参考标准,并且能够适用于不同规模的组织。到2000年2月,BS 7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可。到2002年9月,BS 7799-2:2002草案经过广泛讨论之后,正式进行发表成为了国际通用标准,同时废止了之前一版细则。在随后的几年内,该标准进行了多次修正,在组织编排和内容完整性上都有了大幅提高。到目前为止,ISO27001标准已经获得了大量的国家认可,是全球范围内最具代表性的信息安全管理体系。
1.2 ISO27001信息安全管理体系的好处
ISO27001信息安全管理体系标准可以有效地对信息资源形成保护,促使信息化进程有序健康可持续地发展。ISO27001是信息安全管理领域的标准体系,类似于质量管理体系认证ISO9000标准。当企业通过ISO27001的认证,就等同于企业的信息安全管理是科学合理的,能够切实有效地保护客户信息资料和企业内部信息资料。在通过ISO27001信息安全管理体系认证之后,可以具有多个方面的好处或优势。引入信息安全管理体系后可以协调各个层面的信息管理,简化管理环节提高管理效率。通过ISO27001信息安全管理体系认证,还可以增加企业之间电子商务往来的信用度,能够在网站和贸易伙伴之间建立起信任的合作关系,加深企业商务信息化发展。通过ISO27001信息安全管理体系认证,可以促使相关企业实现信息安全承诺,消除客户及员工存有的不信任感,改善企业业绩。不仅如此,甚至还可以获得国际认可,以便于业务向海外拓展。
2 ISO27001信息安全管理体系构建现状分析
2.1 信息安全现状分析
目前,市面上大多数企业都已经构建了适用的信息系统,主要包括了ERP系统、CIM系统、OA系统、PLM系统、网络系统、电子邮件系统以及企业网站等。在用户使用这些系统时,会遭遇相应的信息安全问题,比如存在于外网中的黑客攻击和病毒传染等,存在于内网中的病毒感染和信息泄露等问题。在一系列主流企业中,其计算机多采用分散管理,使用者对计算机具有很高的使用权限,经常会因为一些违规操作或误操作,给系统造成严重影响,给企业信息安全形成冲击。同时,由于计算机管理具有局限性,可能存在部分人员非法拆卸相关硬件,不仅造成企业经济损失,更会造成信息资源外泄。总的来说,大多数企业对涉及知识产权、客户资料和企业资料等信息安全管理的工作并不到位,许多都是徒有其表,无法切实保证信息安全。
2.2 信息安全问题简述
通过对一些企业实际调研就能发现,虽然企业构架了基础的网络系统,并且对上网行为进行了控制,但是仍然存在不少的问题。比如缺少有效的信息安全管理技术支持、缺少对信息安全管理相关事例的学习研究和缺少明确的控制管理规章制度等。总的来说,信息安全问题可以分为以下几类:一是缺乏信息安全制度,没有可以保证企业信息安全、推进信息安全建设和约束相关人员的具体制度;二是相关人员信息安全意识薄弱,在日常工作中缺少对企业信息安全的保护;三是信息泄露途径较多,各种外联设备或软件,都可能引发信息泄露;四是信息安全技术缺乏,企业内部的信息安全管理多是通过文字条款在进行约束,缺少技术层面的规范。
2.3 信息安全的总体需求分析
就目前我国企业的实际发展情况来看,需要参考信息安全的现状及存在问题,提出企业自身的信息安全需求。总的来说,信息安全需求可以分为以下几点:一是保护企业信息不遭受各种破坏,从企业内部和外部逐一排除可能存在的潜在威胁;二是确保公司业务正常进行,不会被意外情况打断;三是最小化企业风险,严控商业机密,避免商业机密泄露给企业带来毁灭性打击;四是最大化企业投资回报比,通过信息管理维持企业的可持续发展。
3 ISO27001信息安全管理体系构建分析
3.1 构建ISO27001信息安全管理体系的意义分析
信息安全管理体系从实质上来说,是一种信息安全管理模式,其目的是为了提高企业的管理水平,促进企业良性发展,保证企业各种信息资源的安全,不被外界窃取给企业造成负面影响。信息安全管理体系借助诸多标准,其主要参考就是ISO27001信息安全管理标准,通过参考该标准实现企业信息安全管理规范有序,使企业信息安全管理向科学合理的方向发展。信息安全管理是伴随信息技术发展而发展的,在信息社会中,信息资源已经成为一种十足珍贵的资源,具有极高的经济价值。
3.2 ISO27001信息安全管理体系构建思路
参考ISO27001标准,结合企业的信息管理需求与现状,大致可以按照如下思路构建。第一是准备工作,通过管理层决策进行安全组织和人员配置,并对其展开宣传培训,为后期工作打下基础。第二是构建框架,根据ISO27001信息安全体系框架,对管理体系和技术框架进行分析,得出相应的理论支撑基础。第三是评估风险,按照信息安全的具体评估流程,通过风险分类和资产分类作出相应评估,以此为信息安全管理体系构建的数据基础。第四是改善安全,将风险评估结合管理技术,得出科学合理的改善措施。第五是运行实施,按照之前得出的措施严格实施,对于已经建立的部分进行完善,并纳入整体管理体系。第六是检查改进,通过实施和运行信息安全管理体系,保证信息安全管理体系能够正常运转,并为企业提供可靠的信息安全保障。第七是运行改进,在信息安全管理体系运转的过程中,不断发现问题解决问题,逐步完善体系使其日益成熟稳定。
3.3 ISO27001信息安全管理体系的实现
在明确构建思路之后,就需要进入到实际建设阶段,将计划付诸行动。实现ISO27001信息安全管理体系的构建,需要从多个步骤来进行。首先是在企业决策层树立信息安全管理的基本概念,只有掌握企业未来方向的决策层能够认识到信息安全管理的重要性和必要性,才能带头做好相关工作。其次是引进和开发先进的信息安全管理技术,实现相关技术的国产化,摒除国外技术可能存在的技术性后门,避免造成企业信息资料被窃取。再次构建对应的信息安全级别制度,即针对员工在企业中的不同部门以及不同职位,给予其不同的信息安全级别。级别越高,可获取的信息资料范围和机密程度也越高;级别越低,可获取的信息资料范围和机密程度也越低。最后是将构建思路的各步逐一实现,并将其与上述几个方面进行结合,以此构建全方位的基于ISO27001下的信息安全管理体系,保证企业信息安全。
4 结语
在信息安全问题日益突出的现实背景下,加强信息安全管理体系的构建,具有极其重要的现实作用及未来意义。在ISO27001信息安全标准下,开发先进的技术,仔细评估信息安全风险,构建符合企业现阶段情况与未来发展的信息安全管理体系。
[1]刘晓敏,徐磊.信息安全管理体系的定义、功能和构建方法分析[J].信息通信,2013(01).
[2]饶玉辉.基于ISO27001的京东方信息安全管理体系建设[D].北京邮电大学,2012.
[3]朱璇.基于ISO27001的信息安全管理体系的研究和实现[D].上海交通大学,2009.