干货|构建ISO27001信息安全管理体系的重大意义
在计算机技术进入高速发展之后,网络技术得到全方位的应用,随之而来的信息安全问题,逐渐得到社会各界的关注。信息安全不仅在通讯和数据领域得到了十足的发展,更在计算机安全、通讯安全和网络安全等方面涉及广泛。通过IS027001信息安全管理体系,建立符合现代企业业务及管理的信息安全体系。完善信息化建设,削减安全漏洞,对企业长远发展具有重大意义。
1、IS027001信息安全管理体系的起源及发展简述
在近些年一系列信息安全问题被媒体曝光之后,各行各业均加大了对信息安全的担忧。IS027001标准于1993年由英国贸易工业部立项,在1995出版了BS7799-1:1995((信息安全管理实施细则》,该细则提供了一套完整的、由信息安全惯例所构建的信息安全管理体系。其目的是为了确定工商业信息系统在绝大部分情况下的所需控制范围具有统一的参考标准,并且能够适用于不同规模的组织。到2000年2月,BS7799-1:t999《信息安全管理实施细贝4》通过了國际标准化组织ISO的认可。到2002年9月,BS7799—2:2002草案经过广泛讨论之后,正式进行发表成为了国际通用标准,废止了之前一版细则。在随后的几年内,该标准进行了多次修正,在组织编排和内容完整性上都有了大幅提高。到目前为止,IS027001标准已经获得了大量的国家认可,是全球范围内蕞具代表性的信息安全管理体系。
2 、IS027001信息安全管理体系的好处
(1)可以有效地对信息资源形成保护,促使信息化进程有序健康可持续地发展。IS027001是信息安全管理领域的标准体系,类似于质量管理体系认证IS09000标准。
(2)当企业通过IS027001的认证,就等同于企业的信息安全管理是科学合理的,能够切实有效地保护客户信息资料和企业内部信息资料。在通过IS027001信息安全管理体系认证之后,可以具有多个方面的好处或优势。引入信息安全管理体系后可以协调各个层面的信息管理,简化管理环节提高管理效率。
(3)通过IS027001信息安全管理体系认证,还可以增加企业之间电子商务往来的信用度,能够在网站和贸易伙伴之间建立起信任的合作关系,加深企业商务信息化发展。
(4)通过IS027001信息安全管理体系认证,可以促使相关企业实现信息安全承诺,消除客户及员工存有的不信任感,改善企业业绩。甚至还可以获得国际认可,以便于业务向海外拓展。
3、信息安全的现状
目前,市面上大多数企业都已经构建了适用的信息系统,主要包括了ERP系统、CIM系统、OA系统、PLM系统、网络系统、电子邮件系统以及企业网站等。在用户使用这些系统时,会遭遇相应的信息安全问题,比如存在于外网中的黑客攻击和病毒传染等,存在于内网中的病毒感染和信息泄露等问题。在一系列主流企业中,其计算机多采用分散管理,使用者对计算机具有很高的使用权限,经常会因为一些违规操作或误操作,给系统造成严重影响,给企业信息安全形成冲击。由于计算机管理具有局限性,可能存在部分人员非法拆卸相关硬件,不仅造成企业经济损失,更会造成信息资源外泄。大多数企业对涉及知识产权、客户资料和企业资料等信息安全管理的工作并不到位,许多都是徒有其表,无法切实保证信息安全。
4、信息安全的问题简述
通过对一些企业实际调研就能发现,企业构架了基础的网络系统,并且对上网行为进行了控制,仍然存在不少的问题。比如缺少有效的信息安全管理技术支持、缺少对信息安全管理相关事例的学习研究和缺少明确的控制管理规章制度等。信息安全问题可以分为以下几类:一是缺乏信息安全制度,没有可以保证企业信息安全、推进信息安全建设和约束相关人员的具体制度;二是相关人员信息安全意识薄弱,在日常工作中缺少对企业信息安全的保护;三是信息泄露途径较多,各种外联设备或软件,都可能引发信息泄露;四是信息安全技术缺乏,企业内部的信息安全管理多是通过文字条款在进行约束,缺少技术层面的规范。
5、信息安全的总体需求分析
就目前我国企业的实际发展情况来看,需要参考信息安全的现状及存在问题,提出企业自身的信息安全需求。
信息安全需求可以分为以下几点:
一是保护企业信息不遭受各种破坏,从企业内部和外部逐一排除可能存在的潜在威胁;
二是确保公司业务正常进行,不会被意外情况打断;
三是蕞小化企业风险,严控商业机密,避免商业机密泄露给企业带来毁灭性打击;
四是蕞大化企业投资回报比,通过信息管理维持企业的可持续发展。
6、构建IS027001信息安全管理体系的意义分析
信息安全管理体系从实质上来说,是一种信息安全管理模式,其目的是为了提高企业的管理水平,促进企业良性发展,保证企业各种信息资源的安全,不被外界窃取给企业造成负面影响。信息安全管理体系借助诸多标准,其主要参考就是IS027001信息安全管理标准,通过参考该标准实现企业信息安全管理规范有序,使企业信息安全管理向科学合理的方向发展。信息安全管理是伴随信息技术发展而发展的,在信息社会中,信息资源已经成为一种十足珍贵的资源,具有极高的经济价值。
在信息安全问题El益突出的现实背景下,加强信息安全管理体系的构建,具有极其重要的现实作用及未来意义。在IS027001信息安全标准下,开发先进的技术,仔细评估信息安全风险,构建符合企业现阶段情况与未来发展的信息安全管理体系。
