目前國(guó)際化標(biāo)準(zhǔn)組織推出了四個(gè)管理體系標(biāo)準(zhǔn)①ISO9001質(zhì)量管理體系

②OHSAS18001職業(yè)健康安全管理體系

③ISO14001環(huán)境管理體系

④ISO27001信息安全管理體系

這四個(gè)管理體系都采用了系統(tǒng)的方法，即PDCA模型,越來(lái)越多的組織會(huì)選擇其中幾個(gè)甚至全部在組織內(nèi)應(yīng)用，顯然,讓各個(gè)體系各行其是是不現(xiàn)實(shí)的。因此，標(biāo)準(zhǔn)指出:?-個(gè)設(shè)計(jì)適當(dāng)?shù)墓芾眢w系可以滿足所有這些標(biāo)準(zhǔn)的要求。管理體系的整合已經(jīng)成為大勢(shì)所趨。基于“三標(biāo)(除信息安全)”的整合管理體系在國(guó)內(nèi)比較常見(jiàn)，也有大量的參考資料?；u“四標(biāo)”的整合管理體系國(guó)內(nèi)有實(shí)施，例如:國(guó)家電網(wǎng)浙江寧波電業(yè)局的基于流程的資料、職業(yè)健康安全、環(huán)境和信息安全四標(biāo)一體整合管理體系，但是目前還沒(méi)有公開(kāi)資料。2正文解析

ISO/IEC27001的正文分為8章，分別為:

①范圍;

②規(guī)范性引用文件;

③術(shù)語(yǔ)和定義;

④信息安全管理體系;

⑤管理職責(zé);

⑥內(nèi)部信息安全管理體系審核;

⑦信息安全管理體系的管理評(píng)審;

⑧信息安全管理體系的改進(jìn):

標(biāo)準(zhǔn)的開(kāi)始就說(shuō)明了下面的原則:本出版物不聲稱包括一個(gè)合同所有必要的規(guī)定。用戶負(fù)責(zé)對(duì)其進(jìn)行正確的應(yīng)用。符合標(biāo)準(zhǔn)本身并不獲得法律義務(wù)的豁免。

對(duì)管理流程的認(rèn)證和對(duì)產(chǎn)品的認(rèn)證是兩種不同的概念，后者注重結(jié)果，前者注重過(guò)程。理論上講，按照本標(biāo)準(zhǔn)的要求部署信息安全管理體系后，會(huì)防止信息安全事件的發(fā)生，但是不能百分之百的保證,更不能理解為符合標(biāo)準(zhǔn)就獲得法律義務(wù)的豁兔。管理流程是諸多經(jīng)驗(yàn)的總結(jié)，而且在實(shí)踐中證明也是有效的。

對(duì)于結(jié)果的證明是很難實(shí)現(xiàn)的，但是對(duì)于規(guī)范的流程是可以向客戶證明的。

信息安全管理體系正是提供了這樣一個(gè)完整的管理流程，?我們無(wú)法保證這種方法是正確的或者是唯-的，但是至少在實(shí)踐中試行之有效的。2.1范圍解析

ISO/IEC27001不專門針對(duì)某個(gè)行業(yè)，而是適用所有類型組織，對(duì)于具體行業(yè)中的應(yīng)用，在ISO/IEC27000族標(biāo)準(zhǔn)中的其他標(biāo)準(zhǔn)中討論。標(biāo)準(zhǔn)的主要內(nèi)容有兩個(gè)部分:

(1)從組織的整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，為建立、實(shí)施、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系規(guī)定了詳細(xì)的要求。

(2)為適應(yīng)不同組織或其部門的需要而制定的安全控制措施的實(shí)施要求。2.2規(guī)范性引用文件解析

ISO/IEC27001明確了ISO/IEC27002為其應(yīng)用標(biāo)準(zhǔn)。

ISO/IEC27002: 2005 《信息安全管理實(shí)用規(guī)則》作為-一個(gè)通用的信息安全控制措施集，是目前發(fā)布的兩個(gè)信息安全管理體系標(biāo)準(zhǔn)之-?-，這些控制措施涵蓋了信息安全的各個(gè)方面，為信息安全管理體系的建設(shè)提供了控制措施的選擇依據(jù)。

該標(biāo)準(zhǔn)把控制措施分為11個(gè)安全領(lǐng)域，分別是:

(1)安全方針

(2)信息安全組織

(3)資產(chǎn)管理

(4)人力資源安全

(5)物理和環(huán)境安全

(6)通信和操作管理

(7)訪問(wèn)控制

(8)信息系統(tǒng)獲取開(kāi)發(fā)和維護(hù)

(9)信息安全事故管理

(10)業(yè)務(wù)連續(xù)性管理

(11)符合性這11個(gè)方面進(jìn)一步分為39個(gè)安全類型和133條控制措施，?條控制措施的描述則包括了較為詳細(xì)的實(shí)施方法，因此該標(biāo)準(zhǔn)可以作為信息安全管理體系的實(shí)施指南。1.安全方針解析

安全方針，是組織總體方針文件的一部分，其作用是業(yè)務(wù)要求和相關(guān)法律法規(guī)提供管理指導(dǎo)并支持信息全。

信息安全方針是通過(guò)文件的方式進(jìn)行體現(xiàn)。信息安全方針文件組織信息管理者確定的信息安全方針文件化，應(yīng)該包括下面內(nèi)容:

①信息安全的定義以及信息安全在信息共享機(jī)制下安全的重要性。

②信息安全的整體目標(biāo)以及管理者的意圖。

③信息安全的范圍。

④信息安全目標(biāo)和原則。

⑤控制目標(biāo)和控制的框架，包括風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理的結(jié)構(gòu)。

⑥對(duì)于組織特別重要的安全方針策略、原則、標(biāo)準(zhǔn)和符合性要求的簡(jiǎn)要說(shuō)明。

⑦信息安全管理的一般和特定職責(zé)的定義。

⑧對(duì)于支持方針的文件的引用。

信息安全方針文件應(yīng)該由管理者批準(zhǔn)、發(fā)布并傳達(dá)給所有員工和外部相關(guān)方。在編寫信息安全方針文件時(shí)，必須注意到其預(yù)期讀者比較廣泛，因此必須以適合的、可訪問(wèn)的和可理解的形式進(jìn)行表達(dá)。

華菱咨詢位于中國(guó)長(zhǎng)三角、珠三角、京津冀和西南地區(qū)地區(qū)，成立于 2001 年,專注于標(biāo)準(zhǔn)體系咨詢、產(chǎn)品認(rèn)證咨詢、企業(yè)管理項(xiàng)目咨詢以及相關(guān)教育訓(xùn)練的顧問(wèn)公司。公司已在北京、上海、杭州、廣州、深圳、合肥、江西、西安設(shè)立了分支機(jī)構(gòu)。

經(jīng)過(guò)20多年的發(fā)展與實(shí)踐沉淀，華菱咨詢將利用深厚的行業(yè)知識(shí)，幫助客戶把握新機(jī)遇，評(píng)估和管理風(fēng)險(xiǎn)，以實(shí)現(xiàn)負(fù)責(zé)任的增長(zhǎng)。華菱咨詢高績(jī)效的跨學(xué)科團(tuán)隊(duì)可幫助客戶滿足監(jiān)管要求，確?？蛻?/strong>及時(shí)了解信息并滿足利益相關(guān)者的需求。華菱咨詢將為客戶提供全面的端到端的服務(wù)，利用技術(shù)的進(jìn)步真正推動(dòng)業(yè)務(wù)的發(fā)展。

版權(quán)聲明：