關于構建IS027001信息安全管理體系的意義
在計算機技術進入高速發(fā)展之后��,網絡技術得到全方位的應用�,隨之而來的信息安全問題��,逐漸得到社會各界的關注����。信息安全不僅在通訊和數據領域得到了十足的發(fā)展���,更在計算機安全����、通訊安全和網絡安全等方面涉及廣泛。通過IS027001信息安全管理體系,建立符合現代企業(yè)業(yè)務及管理的信息安全體系��。完善信息化建設�,削減安全漏洞,對企業(yè)長遠發(fā)展具有重大意義。
1 IS027001信息安全管理體系的內涵簡述
1.1 IS027001信息安全管理體系的起源與發(fā)展簡述
隨著全球信息化水平不斷提高,信息安全逐浙成為社會各界的關注重點�。尤其是在近些年一系列信息安全問題被媒體曝光之后�����,各行各業(yè)均加大了對信息安全的擔憂。IS027001標準于1993年由英國貿易工業(yè)部立項��,在1995首次出版了BS7799-1:1995((信息安全管理實施細則》��,該細則提供了一套完整的���、由信息安全慣例所構建的信息安全管理體系���。其目的是為了確定工商業(yè)信息系統(tǒng)在絕大部分情況下的所需控制范圍具有統(tǒng)一的參考標準,并且能夠適用于不同規(guī)模的組織����。到2000年2月����,BS
7799-1:t999《信息安全管理實施細貝4》通過了國際標準化組織ISO的認可��。到2002年9月����,BS
7799—2:2002草案經過廣泛討論之后�,正式進行發(fā)表成為了國際通用標準,同時廢止了之前一版細則。在隨后的幾年內��,該標準進行了多次修正���,在組織編排和內容完整性上都有了大幅提高�����。到目前為止��,IS027001標準已經獲得了大量的國家認可,是全球范圍內最具代表性的信息安全管理體系�。
1.2 IS027001信息安全管理體系的好處
IS027001信息安全管理體系標準可以有效地對信息資源形成保護����,促使信息化進程有序健康可持續(xù)地發(fā)展�。IS027001是信息安全管理領域的標準體系,類似于質量管理體系認證IS09000標準����。當企業(yè)通過IS027001的認證��,就等同于企業(yè)的信息安全管理是科學合理的���,能夠切實有效地保護客戶信息資料和企業(yè)內部信息資料�。在通過IS027001信息安全管理體系認證之后,可以具有多個方面的好處或優(yōu)勢�。引入信息安全管理體系后可以協(xié)調各個層面的信息管理��,簡化管理環(huán)節(jié)提高管理效率���。通過IS027001信息安全管理體系認證��,還可以增加企業(yè)之間電子商務往來的信用度,能夠在網站和貿易伙伴之間建立起信任的合作關系,加深企業(yè)商務信息化發(fā)展。通過IS027001信息安全管理體系認證���,可以促使相關企業(yè)實現信息安全承諾,消除客戶及員工存有的不信任感�����,改善企業(yè)業(yè)績�。不僅如此,甚至還可以獲得國際認可�,以便于業(yè)務向海外拓展����。
2 ISO27001信息安全管理體系構建現狀分析
2.1 信息安全現狀分析
目前���,市面上大多數企業(yè)都已經構建了適用的信息系統(tǒng)�,主要包括了ERP系統(tǒng)、CIM系統(tǒng)��、OA系統(tǒng)�����、PLM系統(tǒng)�����、網絡系統(tǒng)��、電子郵件系統(tǒng)以及企業(yè)網站等���。在用戶使用這些系統(tǒng)時����,會遭遇相應的信息安全問題�,比如存在于外網中的黑客攻擊和病毒傳染等,存在于內網中的病毒感染和信息泄露等問題。在一系列主流企業(yè)中����,其計算機多采用分散管理����,使用者對計算機具有很高的使用權限���,經常會因為一些違規(guī)操作或誤操作�����,給系統(tǒng)造成嚴重影響����,給企業(yè)信息安全形成沖擊����。同時,由于計算機管理具有局限性���,可能存在部分人員非法拆卸相關硬件���,不僅造成企業(yè)經濟損失�����,更會造成信息資源外泄��。總的來說�����,大多數企業(yè)對涉及知識產權、客戶資料和企業(yè)資料等信息安全管理的工作并不到位�,許多都是徒有其表�,無法切實保證信息安全�。
2.2 信息安全問題簡述
通過對一些企業(yè)實際調研就能發(fā)現,雖然企業(yè)構架了基礎的網絡系統(tǒng)�,并且對上網行為進行了控制�,但是仍然存在不少的問題����。比如缺少有效的信息安全管理技術支持、缺少對信息安全管理相關事例的學習研究和缺少明確的控制管理規(guī)章制度等���。總的來說��,信息安全問題可以分為以下幾類:一是缺乏信息安全制度�����,沒有可以保證企業(yè)信息安全��、推進信息安全建設和約束相關人員的具體制度;二是相關人員信息安全意識薄弱,在日常工作中缺少對企業(yè)信息安全的保護;三是信息泄露途徑較多���,各種外聯設備或軟件����,都可能引發(fā)信息泄露;四是信息安全技術缺乏,企業(yè)內部的信息安全管理多是通過文字條款在進行約束����,缺少技術層面的規(guī)范��。
2.3 信息安全的總體需求分析
就目前我國企業(yè)的實際發(fā)展情況來看,需要參考信息安全的現狀及存在問題�,提出企業(yè)自身的信息安全需求�����。總的來說�����,信息安全需求可以分為以下幾點:一是保護企業(yè)信息不遭受各種破壞����,從企業(yè)內部和外部逐一排除可能存在的潛在威脅;二是確保公司業(yè)務正常進行,不會被意外情況打斷��,三是最小化企業(yè)風險�,嚴控商業(yè)機密,避免商業(yè)機密泄露給企業(yè)帶來毀滅性打擊;四是最大化企業(yè)投資回報比,通過信息管理維持企業(yè)的可持續(xù)發(fā)展�。
3 IS027001信息安全管理體系構建分析
3.1 構建IS027001信息安全管理體系的意義分析
信息安全管理體系從實質上來說�,是一種信息安全管理模式��,其目的是為了提高企業(yè)的管理水平��,促進企業(yè)良性發(fā)展,保證企業(yè)各種信息資源的安全,不被外界竊取給企業(yè)造成負面影響�。信息安全管理體系借助諸多標準���,其主要參考就是IS027001信息安全管理標準,通過參考該標準實現企業(yè)信息安全管理規(guī)范有序,使企業(yè)信息安全管理向科學合理的方向發(fā)展����。信息安全管理是伴隨信息技術發(fā)展而發(fā)展的����,在信息社會中���,信息資源已經成為一種十足珍貴的資源��,具有極高的經濟價值���。
3.2 IS027001信息安全管理體系構建思路
參考IS027001標準���,結合企業(yè)的信息管理需求與現狀�����,大致可以按照如下思路構建�。第一是準備工作����,通過管理層決策進行安全組織和人員配置,并對其展開宣傳培訓,為后期工作打下基礎���。第二是構建框架,根據IS027001信息安全體系框架,對管理體系和技術框架進行分析,得出相應的理論支撐基礎。第三是評估風險�����,按照信息安全的具體評估流程����,通過風險分類和資產分類作出相應評估����,以此為信息安全管理體系構建的數據基礎。第四是改善安全,將風險評估結合管理技術���,得出科學合理的改善措施。第五是運行實施�����,按照之前得出的措施嚴格實施����,對于已經建立的部分進行完善,并納入整體管理體系���。第六是檢查改進,通過實施和運行信息安全管理體系��,保證信息安全管理體系能夠正常運轉�,并為企業(yè)提供可靠的信息安全保障。第七是運行改進�,在信息安全管理體系運轉的過程中���,不斷發(fā)現問題解決問題��,逐步完善體系使其日益成熟穩(wěn)定。
3.3 IS027001信息安全管理體系的實現
在明確構建思路之后����,就需要進入到實際建設階段��,將計劃付諸行動。實現IS027001信息安全管理體系的構建�,需要從多個步驟來進行����。首先是在企業(yè)決策層樹立信息安全管理的基本概念���,只有掌握企業(yè)未來方向的決策層能夠認識到信息安全管理的重要性和必要性��,才能帶頭做好相關工作。其次是引進和開發(fā)先進的信息安全管理技術��,實現相關技術的國產化����,摒除國外技術可能存在的技術性后門,避免造成企業(yè)信息資料被竊取����。再次構建對應的信息安全級別制度�����,即針對員工在企業(yè)中的不同部門以及不同職位,給予其不同的信息安全級別����。級別越高���,可獲取的信息資料范圍和機密程度也越高;級別越低����,可獲取的信息資料范圍和機密程度也越低。最后是將構建思路的各步逐一實現�,并將其與上述幾個方面進行結合����,以此構建全方位的基于IS027001下的信息安全管理體系�,保證企業(yè)信息安全�。
4、結語
在信息安全問題El益突出的現實背景下����,加強信息安全管理體系的構建�����,具有極其重要的現實作用及未來意義。在IS027001信息安全標準下���,開發(fā)先進的技術,仔細評估信息安全風險�,構建符合企業(yè)現階段情況與未來發(fā)展的信息安全管理體系����。
