信息安全和ISO27001国际标准
作者:警司    发表于:2020-12-04 20:23:41    字符:【】【】【
摘要:业内人士是对的ISO27001人们争先恐后地要求证明,有两个关键的驱动因素:第一,对信息安全的日益严重的威胁,第二,对信息保护相关法律法规的需求日益增长。
IT治理和信息安全
    近年来,香港特区总站高层对内部治理的需求越来越现实和具体。随着信息技术广泛渗透到香港特区总站组织的各个方面,香港特区总站越来越依赖IT处理和存储各种信息的系统,确保业务正常运作,何地IT香港特区总站治理中的制度工作z越来越清晰,IT治理也逐渐得到大多数香港特区总站的认可,成为董事会和香港特区总站内部共同关注的领域。IT治理的基本部分是信息安全保护——包括确保提供信息、保密性和完整性——这是另一回事IT实施治理环节的前提。全部 ,采用了与信息安全有关的国际标准,成为标准IT治理框架的基石。

信息安全和法律法规 
     业内人士是对的ISO27001人们争先恐后地要求证明,有两个关键的驱动因素:第一,对信息安全的日益严重的威胁,第二,对信息保护相关法律法规的需求日益增长。
   从本质上讲,,信息安全面临的威胁是全球性的。一般来说,它将不分青红皂白地辐射到每一个、使用电子信息的机构和个人。此威胁是在Internet环境中自动生成和释放的。更严重的问题是,其他形式的危险整天都在威胁着数据安全,包括从外部攻击到内部破坏、盗窃等一系列危险。
在过去的十年里,,围绕信息和数据安全问题建立的法律和监管制度从无到有、继续增长,其中包括那些专门针对个人数据保护问题的内容,还有一些是针对香港特区总站融资的、论建立经营风险管理体系的法律保障问题。正式标准化的信息安全管理系统应就最佳做法的部署提供指导。现在,建立这样的管理体系已逐渐成为许多合规活动的必要条件,全部 ,证明管理系统已逐渐成为各种组织形式(包括政府REACH).的热需求,这种证明可以为他们带来重要的潜在商业合同。
信息安全和技术
   绝大多数人认为信息安全是一个纯粹的技术问题,只有那些技术人员,尤其是电脑安全技术人员,处理与数据和计算机安全有关的任何问题。当然,这是有意义的。但是,真的,正是电脑使用者需要考虑这样一个问题:避免什么威胁??如何平衡信息安全和信息通畅的选择?如此,一旦用户给出答案,计算机安全专家可以设计和实现一种满足用户需求的技术解决方案。
   在组织内部,管理层应负责决策,不是ITREACH。必须明确指出一个标准化的信息安全管理系统,本组织董事会和管理层负责有关信息安全管理系统的决策,全部,该系统还应能够反映这类决定,并能为其在操作课程中的有效性提供依据。
如此,在本组织内建立信息安全管理系统不需要由技术专家领导。事实上,在许多情况下,技术专家扮演着相反的角色,可能会妨碍活动进程。如此,该活动应由质量管理经理执行、总经理或者其他执行监事负责组织内的主要职能,负责主持工作。
信息安全标准
   1995年,英国标准机构(BSI)颁布BS7799标准,即ISMS(信息安全管理系统),旨在标准化、信息安全管理系统的开发与实现。BS7799这个标准被外界认为是一种不利于任何技术的技术、任何香港特区总站和产品供应商的价值中立管理系统。只要它得到正确的实现,BS7799标准将帮助香港特区总站测试和确认其信息安全管理工具和实施方案的有效性。
    从香港特区总站外部,BS7799注重信息的可得性、保密性和完整性,这仍然是标准致力于实现的目标。BS7799关注香港特区总站组织层面的风险规避(在某种程度上,它主要是商业和金融风险),不包括针对每一个潜在风险的保护措施——尽管它们至关重要。
BS7799起初,只有一份文件,具有明显的实践指导性质。这意味着,它为组织提供信息安全指导,但它没有形成规范,不能为外部第三方审计和证明等提供依据。随着越来越多的香港特区总站开始意识到信息安全的威胁越来越普遍,,影响越来越大,保护数据和隐私的法律法规不断出台,对信息安全标准证明的需求开始增加。
需求的增加最终导致了标准第二部分的出台,这意味着,标准规格。这是实践指南和标准规范之间的关系:标准规范是证明方案的基础,全部,标准规范要求从业人员遵守实践指南的指南。
     许多国家也颁布了自己的相关标准,比如AS/NZS7799。这些标准的国际版本可以在世界上任何国家得到认可,这助长了本地化标准的倒退(除了基于两个标准号码的本地化标准)。
证明和遵守
    组织只能遵守ISO17799建立和发展ISMS(信息安全管理系统),因为实践指南的内容是普遍适用的。但是,在[退出]之后ISO17799非基于身份验证框架,它不具备通过证明所需的信息安全管理系统的要求。但是ISO/EC27001它包含了这些具体但是详细的管理体系证明要求。在技术层面,,这表明它是独立使用的ISO17799机构组织,完全符合实践指南的要求,但是,这还不足以使外部世界认识到它已经满足了证明框架中规定的证明要求。区别是,其中一个全部被使用ISO27001和ISO17799标准机构组织,完全符合证明的具体要求是可能的ISMS,全部这个ISMS该系统也符合实践指南的要求,如此,这个组织可以得到外界的认可,那就是,得到证明。
ISO27001证明要求和其他管理标准
ISO27001标准旨在与其他管理标准一起工作,比如ISO9000和ISO14001是为了互相兼容但是设计的,本标准中编号系统的设计初衷和文档管理要求,就是提供良好的兼容性,这样组织才能建立起这样一套管理制度:能够最大程度地集成到组织所使用的任何其他管理系统中。一般来说,组织通常用于ISO9000为证明或其他管理系统证明提供证明服务组织,提供ISO27001证明服务。怪不得,在ISMS在建立制度的课程中,质量管理经验起着重要的作用。
但有一件事要注意,组织不预先拥有和使用任何形式的管理系统,并不意味着组织不能这么做ISO27001证明。这种情况下,这个组织应该从经济利益的角度来考虑,选择一个拥有适当管理系统的证明机构提供证明服务。必须委托证明机构获得国家评估机构的授权,为证明机构提供证明服务,并颁发证明证书。大多数国家都有自己的国家评估机构(比如:英国UKAS),任何获该团体授权执行ISMS证明机构记录在案。
风险评估和风险应对计划
任何ISMS系统的建立和发展应满足组织的独特需求。每个组织不仅有自己独特的商业模式、业务目标、形象特征与内部文化,他们对风险的态度也有很大不同。即,同样的事情,一个机构组织认为,这是一种必须加以防范的威胁,在另一个组织看来,这可能是一个必须抓住的机会。相同,机构和组织对现有风险保护的投入也参差不齐。在[退出]之后上述或其他原因,每时间 运行ISMS组织,其内部成员必须就风险评估达成共识,风险评估方法、如此,调查结果和建议的解决办法都必须得到董事会的批准。
准备好ISMS活动和PDCA流动
ISMS活动很复杂,它可以持续几个月甚至几年,覆盖整个组织和从管理REACH到接收REACH的每一个成员。ISO27001证明是在短时间内诞生的,成功的案例较少。从语用的角度,这表明在活动规划课程中,,这些只有指导性的书籍和案例必须尽快加以分析和研究。
ISO27001标准指导香港特区总站如何开始ISMS活动,并将重点放在整个活动课程中的一些重要元素上。
1950年W. Edwards Deming提出PDCA流动 ,那就是计划(Plan)-执行(Do)-测试(Check)-提高(Act)课程,其目的是明确业务流动 应不断改进,此方法使职能REACH经理能够识别需要更正的链接并加以更正。这一课程及其改进,必须遵循这样一个课程:先计划,重执行,然后对手术结果进行评估,然后根据计划的具体要求对评估进行审查,然后在结果中找出与计划不符的任何偏差(也就是有可能改进的可能性),最后,向管理层提交了如何操作的最后报告。 
脚注信息
版权 Copyright(C)2009-2018 香港特区总站