您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > 企业ISO27001信息安全管理体系建设过程
企业iso27001信息安全管理体系建设过程凡事预则立,不预则废。对于iso27001信息安全管理建设的工作也先由计划开始。iso27001信息安全管理体系建设分为四个阶段:实施安全风险评估、规划体系建设方案、建立信息安全管理体系、体系运行及改进。也符合信息安全管理循环PDCA(Plan-Do-Check-Action)模型及iso27001要求,即有效地保护企业信息系统的安全,确保信息安全的持续发展。本文结合作者经验,重点论述上述几个方面的内容。1、确立范围首先是确立项目范围,从机构层次及系统层次两个维度进行范围的划分。从机构层次上,可以考虑内部机构:需要覆盖公司的各个部门,其包括总部、事业部、制造本部、技术本部等;外部机构:则包括公司信息系统相连的外部机构,包括供应商、中间业务合作伙伴、及其他合作伙伴等。从系统层次上,可按照物理环境:即支撑信息系统的场所、所处的周边环境以及场所内保障计算机系统正常运行的设施。包括机房环境、门禁、监控等;网络系统:构成信息系统网络传输环境的线路介质,设备和软件;服务器平台系统:支撑所有信息系统的服务器、网络设备、客户机及其操作系统、数据库、中间件和Web系统等软件平台系统;应用系统:支撑业务、办公和管理应用的应用系统;数据:整个信息系统中传输以及存储的数据;安全管理:包括安全策略、规章制度、人员组织、开发安全、项目安全管理和系统管理人员在日常运维过程中的安全合规、安全审计等。2、安全风险评估企业信息安全是指保障企业业务系统不被非法访问、利用和篡改,为企业员工提供安全、可信的服务,保证信息系统的可用性、完整性和保密性。本次进行的安全评估,主要包括两方面的内容:2.1、企业安全管理类的评估通过企业的安全控制现状调查、访谈、文档研读和iso27001的最佳实践比对,以及在行业的经验上进行“差距分析”,检查企业在安全控制层面上存在的弱点,从而为安全措施的选择提供依据。评估内容包括iso27001所涵盖的与信息安全管理体系相关的11个方面,包括信息安全策略、安全组织、资产分类与控制、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发与维护、安全事件管理、业务连续性管理、符合性。2.2、企业安全技术类评估基于资产安全等级的分类,通过对信息设备进行的安全扫描、安全设备的配置,检查分析现有网络设备、服务器系统、终端、网络安全架构的安全现状和存在的弱点,为安全加固提供依据。针对企业具有代表性的关键应用进行安全评估。关键应用的评估方式采用渗透测试的方法,在应用评估中将对应用系统的威胁、弱点进行识别,分析其和应用系统的安全目标之间的差距,为后期改造提供依据。提到安全评估,一定要有方法论。我们以iso27001为核心,并借鉴国际常用的几种评估模型的优点,同时结合企业自身的特点,建立风险评估模型:在风险评估模型中,主要包含信息资产、弱点、威胁和风险四个要素。每个要素有各自的属性,信息资产的属性是资产价值,弱点的属性是弱点在现有控制措施的保护下,被威胁利用的可能性以及被威胁利用后对资产带来影响的严重程度,威胁的属性是威胁发生的可能性及其危害的严重程度,风险的属性是风险级别的高低。风险评估采用定性的风险评估方法,通过分级别的方式进行赋值。3、规划体系建设方案企业信息安全问题根源分布在技术、人员和管理等多个层面,须统一规划并建立企业信息安全体系,并最终落实到管理措施和技术措施,才能确保信息安全。规划体系建设方案是在风险评估的基础上,对企业中存在的安全风险提出安全建议,增强系统的安全性和抗攻击性。在未来1-2年内通过信息安全体系制的建立与实施,建立安全组织,技术上进行安全审计、内外网隔离的改造、安全产品的部署,实现以流程为导向的转型。在未来的3-5年内,通过完善的信息安全体系和相应的物理环境改造和业务连续性项目的建设,将企业建设成为一个注重管理,预防为主,防治结合的先进型企业。4、企业信息安全体系建设企业信息安全体系建立在信息安全模型与企业信息化的基础上,建立信息安全管理体系核心可以更好的发挥六方面的能力:即预警(Warn)、保护(Protect)、检测(Detect)、反应(Response)、恢复(Recover)和反击(Counter-attack),体系应该兼顾攘外和安内的功能。安全体系的建设一是涉及安全管理制度建设完善;二是涉及到信息安全技术。首先,针对安全管理制度涉及的主要内容包括企业信息系统的总体安全方针、安全技术策略和安全管理策略等。安全总体方针涉及安全组织机构、安全管理制度、人员安全管理、安全运行维护等方面的安全制度。安全技术策略涉及信息域的划分、业务应用的安全等级、安全保护思路、说以及进一步的统一管理、系统分级、网络互联、容灾备份、集中监控等方面的要求。其次,信息安全技术按其所在的信息系统层次可划分为物理安全技术、网络安全技术、系统安全技术、应用安全技术,以及安全基础设施平台;同时按照安全技术所提供的功能又可划分为预防保护类、检测跟踪类和响应恢复类三大类技术。结合主流的安全技术以及未来信息系统发展的要求,规划信息安全技术包括:预防保护类检测跟踪类响应恢复类安全基础设施PKI审计系统备份系统防病毒垃圾邮件防护系统网络网络域网络入侵检测冗余设计边界网络包过滤技术网络安全扫描防火墙网络安全审计系统网络设备安全强化上网行为管理SSLVPN接入集中式网络设备访问管理internet内容过滤系统主机访问控制主机入侵检测冗余设计主机安全强化主机安全扫描桌面安全管理应用数据库、应用安全强化数据安全管理用户帐号统一管理安全符合性检查单点登陆管理机制网页完整性检查5、体系运行及改进信息安全管理体系文件编制完成以后,由公司企划部门组织按照文件的控制要求进行审核。结合公司实际,在体系文件编制阶段,将该标准与公司的现有其他体系,如质量、环境保护等体系文件,改归并的归并。该修订审核的再继续修订审核。最终历经几个月的努力,批准并发布实施了信息安全管理系统的文档发布。至此,信息安全管理体系将进入运行阶段。有人说,信息系统的成功靠的是“三分技术,七分管理,十二分执行”。“执行”是要需要在实践中去体会、总结与提高。对于信息系统安全管理体系建设更是如此!在此期间,以IT部门牵头,加强宣传力度,组织了若干次不同层面的宣导培训,充分发挥体系本身的各项功能,及时发现存在的问题,找出问题根源,采取纠正措施,并按照更改控制程序要求对体系予以更改,以达到进一步完善信息安全管理体系的目的。七夕,只因有你,总有一些人牵肠挂肚难以忘记,总有一些日子温暖甜蜜最为珍惜从春夏到秋冬,从陌生到熟悉,虽不能时时联系,却总在特别的日子想起你,七夕快乐,我的朋友。七夕,只因有你,因为有你,再苦生活也不觉得累,再大的险阻也无所畏,再大的波折也不担忧,再痛的经历也会忘记,因为有你,我就拥有了整个世界,谢谢你出现在我的生命里。七夕快乐,我的朋友。七夕,只因有你,相识,是最珍贵的缘分,牵挂,是最真挚的心动,思念,是最美丽的心情,问候,是最动听的语言,在这七夕到来之际,最美的祝福送给你,七夕快乐,我的朋友。七夕,只因有你,雨点轻敲窗,风吹散了梦想,唯有你的模样依旧在脑海里徜徉,夜深人静时,你占满了心房,舍半生轻狂,半世时光,只为拥有一段和你相处的珍贵情缘,七夕快乐,我的朋友。七夕,只因有你,虽然相距很远,但两颗心却紧紧相连虽然不常见面,音容笑貌犹如眼前,悄悄的挟一缕情丝,放飞在炎炎夏日默默的拽一丝牵挂,悬挂在无垠宇宙静静的捎一声问候,盛开在七夕佳节七夕快乐,我的朋友。七夕,只因有你,祝福,是一种真实的心意,是一种甘甜的快乐,是一种浪漫的味道,是一种温馨的记忆,是一种美丽的幸福,更是我们情谊永远不变的纽带,七夕快乐,我的朋友。七夕,只因有你,爱是种体会,即使心碎也觉得甜蜜,爱是种感受,即使痛苦也觉得幸福,爱是种缘分,即使分离也觉得快乐,七夕到了,最真诚的祝福送给你,七夕快乐,我的朋友。七夕,只因有你,愿天下有情人终成眷属,愿单身人士找到爱的方向,愿情侣们找到幸福的天堂,愿夫妻找到温暖的避风巷,愿岁月抚平生活的忧伤,愿爱的花瓣轻舞飞扬,
本文标题:企业ISO27001信息安全管理体系建设过程
链接地址:https://www.777doc.com/doc-4066129 .html