在日趨網(wǎng)絡(luò)化的世界里��,「信息」對建立競爭優(yōu)勢起著舉足輕重的作用��。但它同時也是柄雙刃劍�,當信息被意外或刻意的傳給惡意的接收者時,同樣的信息也可能導(dǎo)致一所機構(gòu)倒閉���。在當今的信息時代�����,科技無疑為我們解決了不少問題�����。
國際標準組織(ISO)應(yīng)此類需求���,制定了ISO27001:2005標準�����,為如何建立����、推行��、維持及改善信息安全管理系統(tǒng)提供幫助�。信息安全管理系統(tǒng)(ISMS)是高層管理人員用以監(jiān)察及控制信息安全、減少商業(yè)風(fēng)險和確保保安系統(tǒng)持續(xù)符合企業(yè)�����、客戶及法律要求的一個體系。ISO/IEC 27001:2005 能協(xié)助機構(gòu)保護專利信息����,同時也為制定統(tǒng)一的機構(gòu)保安標準搭建了一個平臺,更有助于提升安全管理的實務(wù)表現(xiàn)和增強機構(gòu)間商業(yè)往來的信心與信任�。
什么機構(gòu)可采用 ISO/IEC 27001:2005 標準?
任何使用內(nèi)部或外部電腦系統(tǒng)����、擁有機密資料及/或依靠信息系統(tǒng)進行商業(yè)活動地機構(gòu),均可采用 ISO/IEC 27001:2005標準����。簡單的說,也就是那些需要處理信息����、并認識到信息保護重要性的機構(gòu)�。
ISO/IEC 27001 的控制目標及措施
ISO/IEC 27001制定的宗旨是確保機構(gòu)信息的機密性、完整性及可用性�,為達成上述宗旨,該標準共提出了39個控制目標及134項控制措施����,推行ISO/IEC 27001標準的機構(gòu)可在其中選擇適用于其業(yè)務(wù)的控制措施�,同時也可增加其他的控制措施����。而與ISO/IEC 27001相輔的 ISO 17799:2005 標準是信息安全管理的實務(wù)守則,為如何推行控制措施提供指引�。
ISO/ IEC 27001:2005 的架構(gòu)
ISO/ IEC 27001:2005 標準在 2005 年 10 月公布,同時取締了多國采納的英國標準BS 7799-2:2002 ��,但新舊標準的要求并無太大分別�。ISO / IEC 27001:2005 標準以 Edward Deming 博士提出的“計劃-實施-核查-采取行動”循環(huán)周期作為制定藍圖,以實現(xiàn)持續(xù)改善的目標�。
I. 計劃
計劃最重要的部分是設(shè)定涵蓋的范疇及區(qū)域,它可以是:
覆蓋整個組織并涉及多個地點的辦事處及/或廠房
只涉及一個辦事處或廠房
只涉及一個多元化服務(wù)供應(yīng)商的其中一個業(yè)務(wù)
計劃的主要工作包括信息安全管理系統(tǒng)��、風(fēng)險評估���、風(fēng)險管理�、風(fēng)險處理措施和適用性報告��。
信息安全管理系統(tǒng)是運營風(fēng)險整體管理系統(tǒng)的其中一部分����,目的是建立、實施、推行�、檢討、維持及改善信息安全�����。
機構(gòu)在信息的機密性���、完整性和可用性三方面的目標各是什么呢�����?什么程度的風(fēng)險是可接受的��?是否存在任何限制����,如法律��、法規(guī)或機構(gòu)內(nèi)部程序�����?信息安全政策應(yīng)該是一份由行政總監(jiān)簽署認可的文件�。控制措施應(yīng)采取由上至下的推行方式�����。
風(fēng)險評估 根據(jù)需要保護的信息和可接受的風(fēng)險程度來識別真正的風(fēng)險���,并就這些風(fēng)險出現(xiàn)的可能性與其影響的嚴重性作出評估��,從而辨別出機構(gòu)需要管理的風(fēng)險����,即下圖紅色部分內(nèi)的風(fēng)險����。
風(fēng)險管理 / 風(fēng)險處理
完成風(fēng)險評估后,便要決定如何處理這些風(fēng)險����。
適用性報告 (Statement of Applicability)
識別出所有的保安措施,指出哪些對機構(gòu)而言是適用或不適用的�,并說明原因。必須針對風(fēng)險評估的結(jié)果來選擇控制措施��。
II. 實施
選定了控制措施后�����,便需落實推行,同時也需制定程序以確保能夠迅速察覺到事故的發(fā)生并作出回應(yīng)����,并確保所有員工都了解信息安全的重要性,且確保其接受了適當?shù)呐嘤?xùn)����,及有能力執(zhí)行他們負責(zé)的保安任務(wù)。此外�����,還要妥善管理所需的資源�。
III. 核查
核查的目的是確保控制措施都已推行����,并能達到既定的目標。盡管有多種可行的核查方法�����,但只有內(nèi)部審核與管理檢討是強制性的要求����。
IV. 采取行動
最后便需對核查結(jié)果采取適當?shù)男袆樱嚓P(guān)的行動可以是:
修正
預(yù)防
改善
總結(jié)
ISO/IEC 27001:2005 標準為所有行業(yè)的機構(gòu)都提供了一套業(yè)務(wù)工具��,協(xié)助其避免信息保安的失誤��,從而降低了相應(yīng)的風(fēng)險�����。正式推行ISO/IEC 27001:2005 并取得有關(guān)認證的機構(gòu)將受益匪淺����,以下列舉其中數(shù)項:
由于按照國際標準實施適當?shù)目刂拼胧瑱C構(gòu)便能自行將信息保安的失誤率降至最低
以系統(tǒng)化的方法處理符合法律的問題�,從而減低所需承擔(dān)的法律責(zé)任風(fēng)險
以系統(tǒng)化的方法計劃及管理運營的持續(xù)性
增加客戶、合作伙伴和相關(guān)人士對機構(gòu)的信心
提升營運收入����,并為機構(gòu)帶來更多商機
