ISO27000運行過程中�,組織應注意哪些方面?
信息安全管理體系文件編制完成以后��,組織應按照文件的控制要求進行審 核與批準�����,并發(fā)布實施����,至此���,信息安全管理體系將進入運行階段����。體系運行初期一般稱為試運行期或磨合期,在此期間體系運行的 目的是要在實踐中檢驗體系的充分性�、適用性和有效性。在體系運行初期��,組織應加強運作力度�,通過實施其手冊、程序和各種作業(yè) 指導性文件等一系列體系文件���,充分發(fā)揮體系本身的各項功能�����,及時發(fā)現(xiàn)體系策劃本身存在的問題����,找出問題根源���,采取糾正措施�����, 糾正各種不符合�����,并按照更改控制程序要求對體系予以更改�����,以達到進一步完善信息安全管理體系的目的��。
有針對性 地宣貫信息安全管理體系文件���。
體系文件的培訓工作是體系運行的首要任務����,培訓工作的質(zhì)量直接影響體系運行的結(jié) 果�����。組織應根據(jù)培訓工作計劃的安排并按照培訓程序的要求對全體員工實施培訓���。通過培訓使全體員工認識到新建立或完善的信息安 全管理體系是對過去信息安全管理體系的變革,是為了向國際先進的信息安全管理標準接軌����,要適應這種變革和新管理體系的運行���, 就必須認真學習、貫徹信息安全管理體系文件�。
實踐是檢驗真理的唯一標準。
體系文件通過試運行 必然會出現(xiàn)一些問題�,全體員工應將實踐中出現(xiàn)的問題和改進意見如實反饋給有關(guān)部門,以便采取糾正措施���。
將體系 試運行中暴露出的問題�����,如體系設計不周���、項目不全等進行協(xié)調(diào)、改進���。
信息安全管理體系的運行涉及組織體系范圍 的各個部門���,在運行過程中,各項活動往往不可避免的發(fā)生偏離標準的現(xiàn)象���,因此���,組織應按照嚴密�、協(xié)調(diào)����、高效、精簡����、統(tǒng)一的原 則,建立信息反饋與信息安全協(xié)調(diào)機制對異常信息反饋和處理���,對出現(xiàn)的問題加以改進�,并保證體系的持續(xù)正常運行�。
加強有關(guān)體系運行信息的管理,不僅是信息安全管理體系試運行本身的需要�����,也是保證試運行成功的關(guān)鍵���。
所有與 信息安全管理體系活動有關(guān)的人員都應按體系文件要求,做好信息安全的信息收集���、分析�����、傳遞����、反饋、處理和歸檔等工作���。
信息安全體系文件屬于組織的信息資產(chǎn)�����,包含有關(guān)組織的全部安全管理等敏感信息�,組織應按照信息分類的原則對其 進行分類����、進行密級標注并實行嚴格的安全控制,未經(jīng)授權(quán)不得隨意復制或借閱���。
ISO27000中的PDCA四個階段
策劃階段���,組織應:
定義ISMS的范圍和方針�;
定義風險評估的系統(tǒng)性方法��;
識別風險���;
應用組織確定的系統(tǒng)性方法評估風險�����;
識別并評估可選的風險處理方式�����;
選擇控制目標與控制方式�;
當決定接受剩余風險時應獲得管理者同意�,并獲得管理者授權(quán)開始運行信息安全管理體系。
實施階段�,組織應該實施選擇的控制,包括:
實施特定的管理程序�;
實施所選擇的控制;
運作管理�����;
實施能夠促進安全事件檢測和響應的程序和其他控制。
檢查階段�����,組織應:
執(zhí)行程序����,檢測錯誤和違背方針的行為 ���;
定期評審ISMS的有效性����;
評審剩余風險和可接受風險的等級�����;
執(zhí)行管理程序以確定規(guī)定的安全程序是否適當�����,是否符合標準�����,以及是否按照預期的目的進行工作;
定期對ISMS進行正式評審����,以確保范圍保持充分性,以及ISMS過程的持續(xù)改進得到識別并實施����;
記錄并報告所有活動和事件。
改進措施階段����,組織應:
測量ISMS績效;
識別ISMS的改進措施�,并有效實施;
采取適當?shù)募m正和預防措施�����;
與涉及到的所有相關(guān)方磋商���、溝通結(jié)果及其措施�����;
必要時修改ISMS�����,確保修改達到既定的目標�����。
ISMS:ISMS(Information Security Management System)是信息安全管理體系�����。ISOIEC17799:2000它是繼ISO9000����、ISO14000和OHSAS18000之后��,又產(chǎn)生的一個管理體系標準—信息安全管理體系標準���。
信息安全就是組織應明確需要保護的信息資源����,確保信息的機密性���、完整性和 可用性���,并保持良好的協(xié)調(diào)狀態(tài)��。信息安全對企業(yè)經(jīng)營非常重要�����,為了防止信息安全事故或事件的發(fā)生�����,盡管在技術(shù)方面采取了防火 墻和入侵監(jiān)測系統(tǒng)����,但是人為因素造成的信息機密流失仍然占有很高的比率(據(jù)說約70%)���。因此��,建立信息安全管理體系十分必要����。
為了建立�、實施和保持信息安全管理體系,首先應策劃信息安全管理體系的方針和目標�,識別�、分類和清理信息資源�����,根據(jù)其危險程度����、薄弱環(huán)節(jié)和發(fā)生頻次,實施風險控制��,包括回避��、轉(zhuǎn)移�、控制和消除風險���。按PDCA循環(huán)模式�,建立信息安全管理體系�。建立信息安全管理體系共有8個階段。包括確定ISMS適用范圍��、策劃ISMS方針目標��、策劃風險控制的過程�����、識別和評估風險、對風險控制現(xiàn)狀分析����、選擇和制訂管理方案、識別存在的遺留風險和正式實施ISMS�。
用于 ISMS認證的標準有ISOIEC17799:2000和BS7799-2:1999。據(jù)說����,到2003年8月15日止,按BS7799認證的企業(yè)全共有282家����,其中中國有5家。英國多�����,有99家�。ISOIEC JTC1SC27正在對ISOIEC17799:2000進行修訂。預計2004或2005年正式發(fā)布修訂版本���。采用ISOIEC17799建立ISMS�����,并取得認證的好處在于能夠建立完善的信息安全管理體系�����,從管理角度防止信息系統(tǒng)出現(xiàn)安全事故或事件���;對外樹立信息系統(tǒng)可靠性形象�����,滿足顧客要求�,提高企業(yè)競爭能力�����。認證的范圍適合于所有類型和規(guī)模的組織����,特別是涉及個人信息保護的組織��,例如金融���、通訊����、醫(yī)療、社區(qū)管理����、電子商務和電子政務等。
