某公司遇到这样的难题:
A.??????当公司的项目经理面对客户时,客户会问:“你如何保障我的信息在你们公司是安全的?你如何保证我公司的信息不会透露给第三方?”
B.??????当项目经理为此客户解决了所有问题,双方的合作仅差一步时,项目经理却遇到这样的问题:“下个月就需要交付了,本来工期就比较紧,该死的病毒将我上周的数据资料全删掉了,我该怎么办?”
C.??????经理很无奈地说:“又一个骨干员工离职了,多少公司的信息又会被传播出去呀。”
D.??????最后事情到了总经理那里,总经理却感到:“客户在抱怨;项目不能如期交付;对客户的承诺要食言,公司机密在外传;公司的经营要出现危机,怎么办?”
这是一个已经通过CMMI认证公司的无奈。想必在很多企业中,这类问题也是屡见不鲜的,在面临这类问题时也是束手无策。俗话说“三分技术七分管理”,目前企业普遍采用现代化通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、缺乏完整的信息安全管理制度、相应的管理措施不到位。导致了许多信息安全事件的发生:系统瘫痪、黑客入侵、病毒感染、网页改写,甚至客户资料的流失,以及公司内部资料的泄漏等等。这些给企业的经营管理、生存及安全都带来了严重的影响。
一、ISO27001的引入
企业信息化给企业能够带来高效的工作,持久的竞争力,但同时也带来了更多的风险。为了化解这种风险可能造成的恶劣结果,信息安全的重要性得到了越来越多企业管理者们的认可。
早期时候,人们把信息安全的希望寄托在加密技术上面,认为一经加密,什么安全问题都可以解决。随着互联网络的发展,一段时期我们又常听到“防火墙决定一切”的论调。在防火墙的神话破灭之后,入侵检测,PKI,VPN和UTM等新的技术应用又被接二连三地提了出来,信息安全的技术创新从未停止。
然而,企业在采购大量安全设备,采用大量的安全技术之后,仍然不能走出信息安全问题的阴影。原因何在?
实际上,对安全技术和产品的选择运用,这只是信息安全实践活动中的一部分,只是实现安全需求的手段而已。信息安全更广泛的内容,还包括制定完备的安全策略,通过风险评估来确定需求,根据需求选择安全技术和产品,并按照既定的安全策略和流程规范来实施、维护和审查安全控制措施。Gartner曾经在一份安全报告中指出:“各类令企业损失惨重的安全违规事件归根到底都是人所造成的,并且发展成为物理安全和人员的问题。IT安全部门试图用技术方法来解决这些安全问题,但这是行不通的。”
归根到底,信息安全并不是技术过程,而是管理过程。
信息安全管理提供管理程序,技术和保证措施,是商业管理者确信商业交易的可信性,确保信息技术服务的可用性,能适当地抵抗不正当操作、蓄意攻击或者自然灾害,并从这些故障中恢复;确保拒绝没有经过授权地访问重要的机密信息。关于信息安全管理的标准和规范也没有安全技术那么众多,最有代表性的,就是 ISO27001。
二、ISO27001 在企业中的重要性
上述公司认为企业达到了CMM标准就足以应付这些问题,可事实上CMMI 无法使其摆脱这些问题所带来的困扰。在经过一段时间探试和研究后,该公司采用了ISO27001 标准。
ISO27001 标准是由英国标准协会(British Standards Institution, BSI )针对信息安全管理方面而制定的,最初源于英国标准BS7799,经过十年的不断改版,终于在2005年被国际标准化组织发布为正式的国际标准,用于组织的信息安全管理体系的建立,保障组织的信息安全,采用相关指定方法,基于风险评估的风险管理理念,全面系统地持续改进组织的安全管理。是目前世界上唯一的信息安全管理标准,已被全球五千多家政府机构和知名企业所采用。如今是否通过ISO27001 在某些行业中,已经成为一些客户的要求条件之一。目前除英国外,还有荷兰、丹麦、澳大利亚、巴西等国已同意使用该标准;日本、瑞士、卢森堡等国也表示对 ISO27001 标准感兴趣;我国的台湾、香港也在推广该标准。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对自己的信息安全进行系统的管理。这套标准注重体系的完整性,强调对法律法规的符合性,并且可与ISO9000 标准有很强的兼容性。
该公司通过ISO27001体系建设和实施,建立了完备的信息安全管理体系,为公司各项安全相关活动提供了明确的目标和操作指南。同时,通过系统的方法建立起组织保障体系,具备了信息安全风险驾驭能力,保证了公司核心业务的可持续运行。通过把ISO27001 的要求引入业务流程,使现有的业务运作更加安全规范,全面提升了公司本身和客户信息资产的安全度,尤其是加强了对客户知识产权和商业秘密的保护,提高了对客户信息安全的保障水平。不仅如此,在公司通过ISO27001 标准认证过程中,强化了员工的信息安全意识,规范了组织信息安全行为,在信息系统受到侵袭时,仍然可以确保业务持续开展并将损失降到最低程度。
二、ISO27001 认证过程
据英标管理体系认证有限公司(BSI)相关人员介绍,信息安全对每个企业或组织来说都是需要的,从目前获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。通过一个独立的第三方的评审,公司的管理体系或产品可以成功通过某种标准的认证,为公司提供了一个向客户表明其体系或产品符合国家或国际标准的系认证和产品认证,其过程会有所不同。首先要得到标准并通读,可以了解到该标准的要求。从而,得知实施该标准对公司来说是不是有意义。之后是充分了解标准,通过各种媒介有相当多的已公布的信息可以用来帮助企业了解和实施一个标准。当然,采用一个特定的管理体系应该是公司的一个战略性的决定,除了指派一个专门的团队具体负责体系的开发与实施外,资深高层经理的参与往往是成功的关键。其次是人员培训。负责实施与维护管理体系的人员需要了解标准的全部细节,有一些专门的培训正好提供了这方面的帮助。
但是在很多时候,大部分企业限于自身经验、意识、技能的欠缺,往往在如何合理规划和有效实施方面陷入困境,毕竟信息安全建设是一项技术性很强而且尚处于探索阶段的全新课题,另一方面,ISO27001所要求建立的信息安全管理体系,较之纯粹的信息安全技术又更显得“务虚”和“高端”,是和组织的整体经营紧密相关的。面对这样全新而复杂的难题,传统行业内机构通常都会自叹摸不着头脑,大有“门外汉的感觉”。即便是始终走在信息通信领域前沿的高技术性企业,也不见得在信息安全管理方面有足够的积累。于是越来越多的组织选择求助于专业的咨询机构。独立的咨询机构可帮助设计一个可行、实际、成本合理的执行计划 |
it168
发表于 2011-7-13 13:43:00
转播
分享
淘帖
()
