關(guān)于構(gòu)建IS027001信息安全管理體系的意義
在計算機(jī)技術(shù)進(jìn)入高速發(fā)展之后���,網(wǎng)絡(luò)技術(shù)得到全方位的應(yīng)用����,隨之而來的信息安全問題���,逐漸得到社會各界的關(guān)注���。信息安全不僅在通訊和數(shù)據(jù)領(lǐng)域得到了十足的發(fā)展,更在計算機(jī)安全���、通訊安全和網(wǎng)絡(luò)安全等方面涉及廣泛���。通過IS027001信息安全管理體系,建立符合現(xiàn)代企業(yè)業(yè)務(wù)及管理的信息安全體系���。完善信息化建設(shè)����,削減安全漏洞��,對企業(yè)長遠(yuǎn)發(fā)展具有重大意義�����。
1 IS027001信息安全管理體系的內(nèi)涵簡述
1.1 IS027001信息安全管理體系的起源與發(fā)展簡述
隨著全球信息化水平不斷提高�����,信息安全逐浙成為社會各界的關(guān)注重點。尤其是在近些年一系列信息安全問題被媒體曝光之后����,各行各業(yè)均加大了對信息安全的擔(dān)憂。IS027001標(biāo)準(zhǔn)于1993年由英國貿(mào)易工業(yè)部立項�����,在1995首次出版了BS7799-1:1995((信息安全管理實施細(xì)則》���,該細(xì)則提供了一套完整的����、由信息安全慣例所構(gòu)建的信息安全管理體系����。其目的是為了確定工商業(yè)信息系統(tǒng)在絕大部分情況下的所需控制范圍具有統(tǒng)一的參考標(biāo)準(zhǔn),并且能夠適用于不同規(guī)模的組織���。到2000年2月���,BS
7799-1:t999《信息安全管理實施細(xì)貝4》通過了國際標(biāo)準(zhǔn)化組織ISO的認(rèn)可�。到2002年9月���,BS
7799—2:2002草案經(jīng)過廣泛討論之后,正式進(jìn)行發(fā)表成為了國際通用標(biāo)準(zhǔn)���,同時廢止了之前一版細(xì)則�。在隨后的幾年內(nèi)��,該標(biāo)準(zhǔn)進(jìn)行了多次修正�����,在組織編排和內(nèi)容完整性上都有了大幅提高����。到目前為止,IS027001標(biāo)準(zhǔn)已經(jīng)獲得了大量的國家認(rèn)可���,是全球范圍內(nèi)最具代表性的信息安全管理體系�。
1.2 IS027001信息安全管理體系的好處
IS027001信息安全管理體系標(biāo)準(zhǔn)可以有效地對信息資源形成保護(hù)�,促使信息化進(jìn)程有序健康可持續(xù)地發(fā)展。IS027001是信息安全管理領(lǐng)域的標(biāo)準(zhǔn)體系�����,類似于質(zhì)量管理體系認(rèn)證IS09000標(biāo)準(zhǔn)。當(dāng)企業(yè)通過IS027001的認(rèn)證�,就等同于企業(yè)的信息安全管理是科學(xué)合理的,能夠切實有效地保護(hù)客戶信息資料和企業(yè)內(nèi)部信息資料�����。在通過IS027001信息安全管理體系認(rèn)證之后�,可以具有多個方面的好處或優(yōu)勢。引入信息安全管理體系后可以協(xié)調(diào)各個層面的信息管理���,簡化管理環(huán)節(jié)提高管理效率�����。通過IS027001信息安全管理體系認(rèn)證��,還可以增加企業(yè)之間電子商務(wù)往來的信用度�����,能夠在網(wǎng)站和貿(mào)易伙伴之間建立起信任的合作關(guān)系��,加深企業(yè)商務(wù)信息化發(fā)展����。通過IS027001信息安全管理體系認(rèn)證,可以促使相關(guān)企業(yè)實現(xiàn)信息安全承諾����,消除客戶及員工存有的不信任感��,改善企業(yè)業(yè)績�����。不僅如此��,甚至還可以獲得國際認(rèn)可�����,以便于業(yè)務(wù)向海外拓展�����。
2 ISO27001信息安全管理體系構(gòu)建現(xiàn)狀分析
2.1 信息安全現(xiàn)狀分析
目前��,市面上大多數(shù)企業(yè)都已經(jīng)構(gòu)建了適用的信息系統(tǒng)���,主要包括了ERP系統(tǒng)����、CIM系統(tǒng)、OA系統(tǒng)���、PLM系統(tǒng)���、網(wǎng)絡(luò)系統(tǒng)、電子郵件系統(tǒng)以及企業(yè)網(wǎng)站等�����。在用戶使用這些系統(tǒng)時�,會遭遇相應(yīng)的信息安全問題,比如存在于外網(wǎng)中的黑客攻擊和病毒傳染等��,存在于內(nèi)網(wǎng)中的病毒感染和信息泄露等問題���。在一系列主流企業(yè)中�����,其計算機(jī)多采用分散管理��,使用者對計算機(jī)具有很高的使用權(quán)限���,經(jīng)常會因為一些違規(guī)操作或誤操作����,給系統(tǒng)造成嚴(yán)重影響��,給企業(yè)信息安全形成沖擊�。同時,由于計算機(jī)管理具有局限性����,可能存在部分人員非法拆卸相關(guān)硬件���,不僅造成企業(yè)經(jīng)濟(jì)損失��,更會造成信息資源外泄�?����?偟膩碚f��,大多數(shù)企業(yè)對涉及知識產(chǎn)權(quán)、客戶資料和企業(yè)資料等信息安全管理的工作并不到位�����,許多都是徒有其表���,無法切實保證信息安全���。
2.2 信息安全問題簡述
通過對一些企業(yè)實際調(diào)研就能發(fā)現(xiàn),雖然企業(yè)構(gòu)架了基礎(chǔ)的網(wǎng)絡(luò)系統(tǒng)���,并且對上網(wǎng)行為進(jìn)行了控制�,但是仍然存在不少的問題����。比如缺少有效的信息安全管理技術(shù)支持、缺少對信息安全管理相關(guān)事例的學(xué)習(xí)研究和缺少明確的控制管理規(guī)章制度等�。總的來說��,信息安全問題可以分為以下幾類:一是缺乏信息安全制度��,沒有可以保證企業(yè)信息安全��、推進(jìn)信息安全建設(shè)和約束相關(guān)人員的具體制度;二是相關(guān)人員信息安全意識薄弱,在日常工作中缺少對企業(yè)信息安全的保護(hù);三是信息泄露途徑較多���,各種外聯(lián)設(shè)備或軟件�,都可能引發(fā)信息泄露;四是信息安全技術(shù)缺乏�,企業(yè)內(nèi)部的信息安全管理多是通過文字條款在進(jìn)行約束,缺少技術(shù)層面的規(guī)范���。
2.3 信息安全的總體需求分析
就目前我國企業(yè)的實際發(fā)展情況來看��,需要參考信息安全的現(xiàn)狀及存在問題��,提出企業(yè)自身的信息安全需求�����。總的來說��,信息安全需求可以分為以下幾點:一是保護(hù)企業(yè)信息不遭受各種破壞����,從企業(yè)內(nèi)部和外部逐一排除可能存在的潛在威脅;二是確保公司業(yè)務(wù)正常進(jìn)行,不會被意外情況打斷���,三是最小化企業(yè)風(fēng)險����,嚴(yán)控商業(yè)機(jī)密,避免商業(yè)機(jī)密泄露給企業(yè)帶來毀滅性打擊;四是最大化企業(yè)投資回報比�����,通過信息管理維持企業(yè)的可持續(xù)發(fā)展�。
3 IS027001信息安全管理體系構(gòu)建分析
3.1 構(gòu)建IS027001信息安全管理體系的意義分析
信息安全管理體系從實質(zhì)上來說,是一種信息安全管理模式���,其目的是為了提高企業(yè)的管理水平��,促進(jìn)企業(yè)良性發(fā)展����,保證企業(yè)各種信息資源的安全��,不被外界竊取給企業(yè)造成負(fù)面影響���。信息安全管理體系借助諸多標(biāo)準(zhǔn)��,其主要參考就是IS027001信息安全管理標(biāo)準(zhǔn)��,通過參考該標(biāo)準(zhǔn)實現(xiàn)企業(yè)信息安全管理規(guī)范有序��,使企業(yè)信息安全管理向科學(xué)合理的方向發(fā)展����。信息安全管理是伴隨信息技術(shù)發(fā)展而發(fā)展的,在信息社會中�����,信息資源已經(jīng)成為一種十足珍貴的資源�����,具有極高的經(jīng)濟(jì)價值�����。
3.2 IS027001信息安全管理體系構(gòu)建思路
參考IS027001標(biāo)準(zhǔn)��,結(jié)合企業(yè)的信息管理需求與現(xiàn)狀���,大致可以按照如下思路構(gòu)建。第一是準(zhǔn)備工作,通過管理層決策進(jìn)行安全組織和人員配置�����,并對其展開宣傳培訓(xùn)�����,為后期工作打下基礎(chǔ)����。第二是構(gòu)建框架,根據(jù)IS027001信息安全體系框架�,對管理體系和技術(shù)框架進(jìn)行分析,得出相應(yīng)的理論支撐基礎(chǔ)��。第三是評估風(fēng)險�,按照信息安全的具體評估流程,通過風(fēng)險分類和資產(chǎn)分類作出相應(yīng)評估�,以此為信息安全管理體系構(gòu)建的數(shù)據(jù)基礎(chǔ)。第四是改善安全���,將風(fēng)險評估結(jié)合管理技術(shù)�,得出科學(xué)合理的改善措施���。第五是運(yùn)行實施����,按照之前得出的措施嚴(yán)格實施,對于已經(jīng)建立的部分進(jìn)行完善�����,并納入整體管理體系��。第六是檢查改進(jìn)����,通過實施和運(yùn)行信息安全管理體系,保證信息安全管理體系能夠正常運(yùn)轉(zhuǎn)��,并為企業(yè)提供可靠的信息安全保障���。第七是運(yùn)行改進(jìn)�,在信息安全管理體系運(yùn)轉(zhuǎn)的過程中��,不斷發(fā)現(xiàn)問題解決問題���,逐步完善體系使其日益成熟穩(wěn)定。
3.3 IS027001信息安全管理體系的實現(xiàn)
在明確構(gòu)建思路之后,就需要進(jìn)入到實際建設(shè)階段����,將計劃付諸行動。實現(xiàn)IS027001信息安全管理體系的構(gòu)建���,需要從多個步驟來進(jìn)行�����。首先是在企業(yè)決策層樹立信息安全管理的基本概念�����,只有掌握企業(yè)未來方向的決策層能夠認(rèn)識到信息安全管理的重要性和必要性�,才能帶頭做好相關(guān)工作�����。其次是引進(jìn)和開發(fā)先進(jìn)的信息安全管理技術(shù)�����,實現(xiàn)相關(guān)技術(shù)的國產(chǎn)化��,摒除國外技術(shù)可能存在的技術(shù)性后門,避免造成企業(yè)信息資料被竊取��。再次構(gòu)建對應(yīng)的信息安全級別制度��,即針對員工在企業(yè)中的不同部門以及不同職位��,給予其不同的信息安全級別�。級別越高,可獲取的信息資料范圍和機(jī)密程度也越高;級別越低��,可獲取的信息資料范圍和機(jī)密程度也越低����。最后是將構(gòu)建思路的各步逐一實現(xiàn),并將其與上述幾個方面進(jìn)行結(jié)合���,以此構(gòu)建全方位的基于IS027001下的信息安全管理體系�����,保證企業(yè)信息安全�。
4�����、結(jié)語
在信息安全問題El益突出的現(xiàn)實背景下,加強(qiáng)信息安全管理體系的構(gòu)建�,具有極其重要的現(xiàn)實作用及未來意義。在IS027001信息安全標(biāo)準(zhǔn)下�,開發(fā)先進(jìn)的技術(shù)���,仔細(xì)評估信息安全風(fēng)險�,構(gòu)建符合企業(yè)現(xiàn)階段情況與未來發(fā)展的信息安全管理體系��。
