show_article ISO27001:2013推行的难点和重点_瀚晟与您 共创前程
400-777-4017

ISO27001:2013推行的难点和重点

ISO27001采用了同ISO9001/ISO14001一致的运行模式,管理体系的建立可以考虑同ISO9001/ISO14001同样的文件化结构,同ISO9001/ISO14001不同的地方也就是ISO27001的重点和难点,具体包括以下几个方面:
 
a)明确信息安全管理体系体系覆盖范围
 
确定信息安全管理体系(ISMS)的范围(Scope),是实施ISO27001认证项目最关键的前提条件,只有在明确实施范围之后,整个项目各阶段的活动才能有秩序有控制地进行。在后续审核阶段,组织向认证机构体出申请时,是否有确定的范围也是认证机构启动审核的一个必须的条件。范围的界定要从组织的业务出发的,通过分析业务流程,找与此相关的人员、部门和职能,然后确定业务流程所依赖的信息系统和场所环境,最终从逻辑上和物理上对ISMS的范围予以明确。
 
需要注意的是,组织确定的ISMS范围,必须是适合内外部客户所需的,且包含了与所有对信息安全具有影响的合作伙伴、供货商和客户的接触关系。为此,自主应该通过合同、服务水平协议(SLA)、谅解备忘录等方式来说明其在与合作伙伴、供货商以及客户接触时实施了信息安全管理。

 

组织在描述ISMS范围时应该包括:

 
  为内部或外部客户提供的(也是需要保护的)服务、信息系统、资产等。
 
  实际的物理场所和对象信息(地理位置、部门等)。
   

b)资产的识别/分类与估价

 
对公司的信息资产进行登记和分类,指定资产的所有人并明确相关人员的责任。对资产进行清楚地标识和处理。确认不同的资产的价值,对其进行控制。与信息系统相关联的资产示例有:
 
  数据与文档:数据库和数据文件、系统文文件、用户手册、培训材料、操作或支持步骤、连续性计划、归档信息;
 
  软件资产:应用程序软件、系统软件、开发工具以及实用程序;
 
  硬件资产:计算器设备(处理器、监视器、膝上型计算机、调制解调器)、通讯设备(路由器、PABX、传真机、应答机)、磁介质(磁带和磁盘)、其它技术设备(电源、空调器)、磁盘数组、磁光介质、家具、机房;
 
  服务:计算和通讯服务、常用设备,如加热器、照明设备、电源、空调。
 

c)风险管理(风险的识别、评估与控制)

 
  风险管理是在可接受的成本下,标识、控制和尽量减少(或消除)可能影响信息系统安全风险的过程。
 
  其中最为重要和困难的是风险评估。目前国际上存在多个定量或定性评估方法。一个综合的风险评估模型主要应包括6方面的内容:
 
  现有信息系统分析:对现有 信息系统、所处环境、管理组织、用户的安全需求进行调查分析,是分析工作的基点;
 
  识别关键资产:根据信息系统分析的结果识别出系统的关键资产,以此为核心进行风险分析工作;
 
  识别威胁:识别出信息系统的主要安全威胁以及相应的威胁途径/方式;
 
  识别脆弱点:通过测试或访谈的形式识别出系统在技术脆弱点与管理方面的薄弱环节,以及组织的事件防范能力;
 
  分析事件影响:结合组织的安全需求、事件控制能力、信息系统结构综合分析威胁事件对信息系统可能造成的影响;
 
  综合风险评估:综合关键资产、威胁因素、脆弱点及防范能力、综合事件影响评估组织面临的风险




版权所有 © 2003-2015 瀚晟企业管理顾问有限公司 粤ICP备15048599号-1