信息安全管理體系是組織管理體系的一部分,用于管理相關(guān)信息安全方面的管理體系�����,以使組織履行合規(guī)義務(wù)�,應(yīng)對風(fēng)險(xiǎn)和機(jī)遇。在互聯(lián)網(wǎng)的世界里��,所有類型和規(guī)模的組織都要采用不同方式收集��、處理����、存儲(chǔ)和傳輸信息。相關(guān)過程����、系統(tǒng)、網(wǎng)絡(luò)及其操作���、處理和保護(hù)的信息安全具有固有的脆弱性��,容易受到故意或意外的威脅�,這些潛在的信息安全風(fēng)險(xiǎn)一直存在,并時(shí)常會(huì)發(fā)生���。有效的信息安全管理可以降低各方的威脅和脆弱性�,從而為社會(huì)持續(xù)地創(chuàng)造價(jià)值��。
一��、信息安全管理體系的起源
隨著在世界范圍內(nèi)信息化水平的不斷發(fā)展���,信息安全逐漸成為人們關(guān)注的焦點(diǎn),各機(jī)構(gòu)�、組織、個(gè)人都在探尋如何保障信息安全的問題���。
1995年�����,英國首次發(fā)布BS 7799-1:1995《信息安全管理實(shí)施細(xì)則》標(biāo)準(zhǔn)����,該標(biāo)準(zhǔn)提供了有關(guān)信息安全的實(shí)施規(guī)則��,旨在確定工商業(yè)信息安全控制范圍的參考基準(zhǔn)。美國�����、挪威�、瑞典、芬蘭�、澳大利亞等國也定了有關(guān)信息安全的本國標(biāo)準(zhǔn)���。
1998年���,英國發(fā)布了BS 7799的第二部分,BS 7799-2:1998《信息安全管理體系規(guī)范》�,該標(biāo)準(zhǔn)規(guī)定信息安全管理體系要求與信息安全控制要求�,它是一個(gè)組織的全面或部分信息安全管理體系評估的基礎(chǔ)�����,它可以作為一個(gè)正式認(rèn)證方案的根據(jù)�����。
1999年����,BS 7799-1和BS 7799-2經(jīng)過修訂又重新予以發(fā)布���。新版的BS 7799考慮了信息處理技術(shù)����,尤其是在網(wǎng)絡(luò)和通信領(lǐng)域的應(yīng)用和發(fā)展���,強(qiáng)調(diào)商務(wù)信息安全及信息安全的責(zé)任。
2000年���,BS 7799-1:1999《信息安全管理實(shí)施細(xì)則》通過了ISO的認(rèn)可��,ISO發(fā)布了ISO 17799:2000《信息技術(shù) 信息安全管理實(shí)施細(xì)則》標(biāo)準(zhǔn)�����。
2002年����,英國對BS 7799-2再次修訂�����,發(fā)布BS 7799-2:2002《信息安全管理體系規(guī)范》標(biāo)準(zhǔn)。
2005年����,BS 7799-2:2002被ISO所采納�,同年10月��,ISO推出ISO 27001:2005《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》標(biāo)準(zhǔn)。
2013年����,ISO對ISO/IEC 27001:2015標(biāo)準(zhǔn)進(jìn)行了修訂,相繼發(fā)布了ISO/IEC 27001:2013《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》標(biāo)準(zhǔn)和ISO/IEC 27002:2013《信息技術(shù) 安全技術(shù) 信息安全控制實(shí)施規(guī)程》標(biāo)準(zhǔn)�。
2016年�,ISO發(fā)布ISO/IEC 27000:2016《信息技術(shù) 安全技術(shù) 信息安全管理體系 概述與詞匯》標(biāo)準(zhǔn)�。
建立ISMS是一項(xiàng)艱苦而細(xì)致的工作����,需要雙方的積極協(xié)作和配合��。網(wǎng)絡(luò)企業(yè)或機(jī)構(gòu)的領(lǐng)導(dǎo)層要對ISMS的建立做出承諾����,同時(shí)配備必要的人力�����、物力和財(cái)力資源,網(wǎng)絡(luò)企業(yè)或機(jī)構(gòu)的全體員工也要在體系建立過程中給予咨詢師充分的配合�����。廣州宇鴻管理咨詢有限公司將根據(jù)網(wǎng)絡(luò)企業(yè)或機(jī)構(gòu)的需要�,提供ISMS的全過程專業(yè)化的咨詢服務(wù)��。
按照建立ISMS信息安全管理體系的要求,我們把整個(gè)過程分為五個(gè)階段���,其實(shí)施流程圖如下:
第一階段:準(zhǔn)備階段
★ISO/IEC27001:2005標(biāo)準(zhǔn)培訓(xùn)
此培訓(xùn)包含信息安全意識培訓(xùn)和標(biāo)準(zhǔn)精要培訓(xùn)兩部分,時(shí)間兩天���,通過培訓(xùn)使網(wǎng)絡(luò)企業(yè)或機(jī)構(gòu)管理人員熟悉了解ISO/IEC27001:2005標(biāo)準(zhǔn)的基本內(nèi)容和要求����,提高網(wǎng)絡(luò)企業(yè)或機(jī)構(gòu)全體員工的信息安全意識����。
★差距分析
廣州宇鴻咨詢師會(huì)同網(wǎng)絡(luò)企業(yè)或機(jī)構(gòu)有關(guān)人員對現(xiàn)行的信息安全管理體系與ISO/IEC27001:2005信息安全管理體系標(biāo)準(zhǔn)要求進(jìn)行比照性診斷,找出存在的問題和可以在新體系中繼續(xù)采用的管理體制�����,作為下一步開展工作的依據(jù)�����。我們建議對企業(yè)或機(jī)構(gòu)整個(gè)網(wǎng)絡(luò)系統(tǒng)作一個(gè)詳細(xì)的網(wǎng)絡(luò)安全測試���,時(shí)間為期3人6天為系統(tǒng)加固和建立信息安全管理體系提供足夠的證據(jù)。
差距分析后�,充分與網(wǎng)絡(luò)企業(yè)或機(jī)構(gòu)高層溝通交流信息安全存在的問題與改進(jìn)的建議,協(xié)助企業(yè)確定體系覆蓋范圍��、信息安全方針����、控制措施����、適用性聲明等,改進(jìn)信息安全�����。所有問題及建議���,我們會(huì)以差距分析報(bào)告的形式提交企業(yè)或機(jī)構(gòu)或機(jī)構(gòu)����。
★制定詳細(xì)實(shí)施計(jì)劃
根據(jù)差距分析結(jié)果�,制定出詳盡的整個(gè)體系實(shí)施工作計(jì)劃,并將每項(xiàng)工作落實(shí)到部門和具體的時(shí)間����。
客服咨詢
158-0008-7775 
