ISO27001建設內容
發布時間:2015-07-04 未經本站允許禁止轉載,如有侵權請與本站聯系
建設內容
2.1. ISMS文檔體系
ISMS安全體系建設嚴格按照ISO27001:2005標準所規定的11個安全域的控制項和控制點進行���。其中11個安全域包括:安全策略�����、信息安全組織、資產管理���、人員安全、物理和環境安全���、通信和操作管理、訪問控制�、信息獲取開發和維護�、信息安全事故管理����、業務可持續性、符合性���。
ISMS安全體系文檔總共由三個層次構成:
(1) 一級文件:信息安全管理手冊
依據ISO/IEC27001:2005《信息安全管理體系要求》,結合企業自身的具體情況編寫而成����。在信息安全管理手冊中將闡明組織的信息安全目標和方針���,對信息安全管理體系做出概括性敘述���,是組織對外實施信息安全保證�、對內進行信息安全管理的綱領性文件�。信息安全管理手冊所采用的條款與ISO/IEC27001:2005《信息安全管理體系要求》中的條款編寫一致,并結合組織的特點編寫了程序文件和記錄文件,形成了信息安全管理標準���,使信息安全管理體系有章可循、有法可依����。
(2) 二級文件:程序及策略文件
程序及策略文件是針對信息安全各方面工作的�����,是對信息安全方針和策略內容的進一步落實����,描述了某項信息安全任務具體的操作步驟和方法,是對標準中各個安全領域內工作的細化����。主要包括資產管理�����、人員安全、信息設備管理程序�����、內部審核程序�、外包服務管理程序、業務持續性�、符合性等文件���。
(3) 三級文件:記錄文件
記錄文件是實施各項信息安全程序的記錄成果���,通常表現為記錄表格����,是ISMS得以持續運行的有力證據,由各個相關部門自行維護��。
2.2. ISMS支持系統
為了更好宣貫���、落實已經制定的ISMS文檔體系��,需要建立與之配套的IT支持系統��。主要包括:ISMS管理系統���、機房和敏感區域出入管理系統��。
(1) ISMS管理系統
可以通過在現有OA系統上增加一個版塊��,形成ISMS管理體系模塊。該功能模塊主要解決ISMS文檔體系的版本管理、統一發布、分發反饋控制��、文檔發布反饋����、文檔作廢聲明等。
(2) 機房和敏感區域出入管理系統
將ISMS文檔體系中關于機房出入管理的流程�����,采用OA電子工單方式實現申請����、審批、開通權限的電子管理流程�����。
3 建設成效
通過ISMS信息安全體系建設���,主要達到以下幾個效果:
(1) 建立完整的信息安全管理體系
實現標準化(ISO27001:2005)����、業界最佳實踐的結合;
完善安全管理組織機構��、人員崗位職責����;
完善各種技術規范��、操作手冊等文檔�;
建立�、健全信息安全事件上報機制和應急預案;
明確各個崗位人員的關于安全事故的獎懲責任制��。
(2) 安全工作開展有條不紊
安全責任�����、目標明確����;
實現IT安全運維標準化��、制度化管理�����。
(3) 部分日常運維工作實現IT流程化
機房、敏感數據區域的出入流程融入OA的工單系統;
強制從OA的工單系統走申請����、審批�����、復核等流程�����;
任何操作都留下“蛛絲馬跡”,便于審計;
安全運維水平體現方式由模糊變為數字化����、指標化。
(4) 建立信息安全門戶網站
統一發布���、管理ISMS文檔體系;
集中展現公司信息安全治理水平,各個部門安全考核得分����;
常見安全問題Q&A����;
安全工具集錦����。
(5) 持續提升安全水平
建立安全管理持續提升機制;
定期進行安全回顧�����;
目標調整����,管理、技術兩方面改進�����。
(6) 為ISO27001認證做準備
可以為今后通過ISO/IEC27001認證做準備����。
