iso27001認證——企業(yè)迎來(lái)春天,信息化建設再上新臺階
病毒破壞、黑客攻擊、信息系統癱瘓、網(wǎng)絡(luò )欺詐、重要信息資料丟失以及利用計算機網(wǎng)絡(luò )實(shí)施的各種犯罪行為,人們已不再陌生,并且這樣的事件好像經(jīng)常在我們身邊發(fā)生。
隨著(zhù)科技的進(jìn)步,信息化的發(fā)展,信息安全的作用日益重要。企業(yè)面臨著(zhù)信息技術(shù)發(fā)展和信息安全的雙重巨大壓力,迫切需要加強信息系統的安全管理,采用業(yè)界通用標準,建設符合自身發(fā)展需要的信息安全管理體系。
長(cháng)久以來(lái),很多人自覺(jué)不自覺(jué)地都會(huì )陷入技術(shù)決定一切的誤區當中,尤其是那些從事信息系統集成業(yè)務(wù)的人員和企業(yè)。最早的時(shí)候,人們把信息安全的希望寄托在加密技術(shù)上面,認為一經(jīng)加密,什么安全問(wèn)題都可以解決。
隨著(zhù)互連網(wǎng)絡(luò )的發(fā)展,一段時(shí)期我們又常聽(tīng) 到"防火墻決定一切"的論調。及至更多安全問(wèn)題的涌現,入侵檢測、PKI、VPN 等新的技術(shù)應用被接二連三地提了出來(lái),但無(wú)論怎么變化,還是離不開(kāi)技術(shù)統領(lǐng)信息安全的路子??蛇@樣的思路能夠真正解決安全問(wèn)題嗎?也許可以解決一部分,但卻解決不了根本。
實(shí)際上,對安全技術(shù)和產(chǎn)品的選擇運用,這只是信息安全實(shí)踐活動(dòng)中的一部分,只是實(shí)現安全需求的手段而已。信息安全更廣泛的內容,還包括制定完備的安全策略,通過(guò)風(fēng)險評估來(lái)確定需求,根據需求選擇安全技術(shù)和產(chǎn)品,并按照既定的安全策略和流程規范來(lái)實(shí)施、維護和審查安全控制措施。歸根到底,信息安全并不是技術(shù)過(guò)程,而是管理過(guò)程。
信息系統集成從業(yè)企業(yè)之所以有這樣的認識誤區,原因是多方面的,從安全產(chǎn)品提供商的角度來(lái)看,既然側重在于產(chǎn)品銷(xiāo)售,自然從始至終向客戶(hù)灌輸的都是以技術(shù)和產(chǎn)品為核心的理念。而從客戶(hù)角度來(lái)看,只有產(chǎn)品是有形的,是看得見(jiàn)摸得著(zhù)的,對決策投資來(lái)說(shuō),這是至關(guān)重要的一 點(diǎn),而信息安全的其他方面,比如無(wú)形的管理過(guò)程,自然是遭致忽略。
正是因為有這樣的錯誤認識,我們就經(jīng)??吹剑涸S多組織使用了防火墻、IDS、安全掃描等設備,但卻沒(méi)有制定一套以安全策略為核心的管理措施,致使安全技術(shù)和產(chǎn)品的運用非?;靵y,不能做到長(cháng)期有效和更新。即使組織制定有安全策略,卻沒(méi)有通過(guò)有效的實(shí)施和監督機制去執行,使得策略空有其文,成了擺設而未見(jiàn)效果。
實(shí)際上對待技術(shù)和管理的關(guān)系應該有充分理性的認識:技術(shù)是實(shí)現安全目標的手段,管理是選擇、實(shí)施、使用、維護、審查包括技術(shù)措施在內的安全手段的整個(gè)過(guò)程,是實(shí)現信息安全目標的必由之路。
因此,對于從事信息系統集成的企業(yè)來(lái)說(shuō),有了安全的信息網(wǎng)絡(luò )集成產(chǎn)品,還需要提升企業(yè)信息安全管理體系的建立,這也是構建企業(yè)軟實(shí)力的重要標志。
如果iso27001認證順利通過(guò),多年來(lái)高度重視企業(yè)和用戶(hù)信息安全,持續建設投入的必然成果。經(jīng)過(guò)此次信息安全管理體系認證的系統全面梳理,強化了全員的信息安全意識,規范了組織信息安全行為。公司的信息安全管理水平達到一個(gè)新的高度,將為公司及客戶(hù)提供更堅實(shí)的信息安全保障。
當然,在信息安全風(fēng)險評估領(lǐng)域需要研究和解決的問(wèn)題還很多,主要包括的問(wèn)題如下:
(1) ISO27001 僅僅提供了一些原則性的建議,如何將這些原則性建議與企業(yè)自身的工作實(shí)際情況相結合,在企業(yè)中實(shí)施符合自身狀況的信息安全管理體系,才是真正具有挑戰性的工作。
(2) 建立信息安全管理體系后。接下來(lái),還需要按照生產(chǎn)流程的順序,分批分期實(shí)施信息安全管理體系,逐步在全公司范圍實(shí)現ISO27001認證。
(3) 信息安全風(fēng)險評估模型設計和實(shí)施過(guò)程中,建立完備和針對性能夠強的資產(chǎn)、威脅和脆弱性的知識庫有利于提高風(fēng)險評估的準確性和全面性,同時(shí)如何用程序來(lái)實(shí)現風(fēng)險評估的自動(dòng)化,盡量減少人工的重復性工作也是非常重要。
電話(huà):400-016-9000
郵箱:post@bcc.com.cn
聯(lián)系地址:北京市東城區廣渠門(mén)內大街45號D座5層