ISO27001建设内容
发布时间:2015-07-04 未经本站允许禁止转载,如有侵权请与本站联系
建设内容
2.1. ISMS文档体系
ISMS安全体系建设严格按照ISO27001:2005标准所规定的11个安全域的控制项和控制点进行。其中11个安全域包括:安全策略、信息安全组织、资产管理、人员安全、物理和环境安全、通信和操作管理、访问控制、信息获取开发和维护、信息安全事故管理、业务可持续性、符合性。
ISMS安全体系文档总共由三个层次构成:
(1) 一级文件:信息安全管理手册
依据ISO/IEC27001:2005《信息安全管理体系要求》,结合企业自身的具体情况编写而成。在信息安全管理手册中将阐明组织的信息安全目标和方针,对信息安全管理体系做出概括性叙述,是组织对外实施信息安全保证、对内进行信息安全管理的纲领性文件。信息安全管理手册所采用的条款与ISO/IEC27001:2005《信息安全管理体系要求》中的条款编写一致,并结合组织的特点编写了程序文件和记录文件,形成了信息安全管理标准,使信息安全管理体系有章可循、有法可依。
(2) 二级文件:程序及策略文件
程序及策略文件是针对信息安全各方面工作的,是对信息安全方针和策略内容的进一步落实,描述了某项信息安全任务具体的操作步骤和方法,是对标准中各个安全领域内工作的细化。主要包括资产管理、人员安全、信息设备管理程序、内部审核程序、外包服务管理程序、业务持续性、符合性等文件。
(3) 三级文件:记录文件
记录文件是实施各项信息安全程序的记录成果,通常表现为记录表格,是ISMS得以持续运行的有力证据,由各个相关部门自行维护。
2.2. ISMS支持系统
为了更好宣贯、落实已经制定的ISMS文档体系,需要建立与之配套的IT支持系统。主要包括:ISMS管理系统、机房和敏感区域出入管理系统。
(1) ISMS管理系统
可以通过在现有OA系统上增加一个版块,形成ISMS管理体系模块。该功能模块主要解决ISMS文档体系的版本管理、统一发布、分发反馈控制、文档发布反馈、文档作废声明等。
(2) 机房和敏感区域出入管理系统
将ISMS文档体系中关于机房出入管理的流程,采用OA电子工单方式实现申请、审批、开通权限的电子管理流程。
3 建设成效
通过ISMS信息安全体系建设,主要达到以下几个效果:
(1) 建立完整的信息安全管理体系
实现标准化(ISO27001:2005)、业界最佳实践的结合;
完善安全管理组织机构、人员岗位职责;
完善各种技术规范、操作手册等文档;
建立、健全信息安全事件上报机制和应急预案;
明确各个岗位人员的关于安全事故的奖惩责任制。
(2) 安全工作开展有条不紊
安全责任、目标明确;
实现IT安全运维标准化、制度化管理。
(3) 部分日常运维工作实现IT流程化
机房、敏感数据区域的出入流程融入OA的工单系统;
强制从OA的工单系统走申请、审批、复核等流程;
任何操作都留下“蛛丝马迹”,便于审计;
安全运维水平体现方式由模糊变为数字化、指标化。
(4) 建立信息安全门户网站
统一发布、管理ISMS文档体系;
集中展现公司信息安全治理水平,各个部门安全考核得分;
常见安全问题Q&A;
安全工具集锦。
(5) 持续提升安全水平
建立安全管理持续提升机制;
定期进行安全回顾;
目标调整,管理、技术两方面改进。
(6) 为ISO27001认证做准备
可以为今后通过ISO/IEC27001认证做准备。
