经过多年的发展,信息安全管理体系标准逐渐同ISO 9001质量管理体系和ISO 14001环境管理体系等等之间建立了和谐的关系。在多项工作的方法论上进行了统一,这一步骤反映了一些组织将信息安全同其管理系统进行整合和一致性调整的尝试。对此,昆明亭长朗然科技有限公司信息安全研究员董志军表示:很多企业机构都建立有标准化的制度体系,往往以文档管理系统的方式而存在,按照框架来讲,不管是质量、安全、环境、可持续发展、风险管理、业务持续还是信息安全等等,都可以使用该框架。
ISO 27001 附录C以及整合
ISO 27001 附录C只是参考性的,而非强制性的——并没有组织被要求来设法整合进它的管理系统。附录C列出了其中个别条文如何对应ISO 9001和ISO 14001中的条文。对于大多数,但不是所有的组织来讲,关键的对应关系将是ISO 27001与ISO 9001的。如下的ISO 27001条文是管理系统集成的出发点:
1) 第4.3条,其中涉及文档需求
2) 第5.1条,其中涉及管理层承诺
3) 第7条,其中涉及管理审查
4) 第6条,其中涉及内部审计。
他们之间这些相同的条文,使两个管理系统可能部署共同的文件体系、管理以及审核流程。
综合管理系统
一套综合管理系统只需要:
1) 一份程序手册,其中包含质量和信息安全的程序
2) 一套全面和综合的审计程序,内容包括审查过程所有方面的活动
3) 标准的管理授权、批准、监测和审查流程,它将处理所有落在这些适用范围内的活动,这些范围包括信息安全管理体系,质量管理体系或环境管理体系。
ISO 9001
已经拥有同ISO 9001标准相兼容的系统的组织可以很简单地添加一些,就可获得ISO27001认证认可的信息安全管理体系。条文1.2已经提到这一点:
“如果一个组织已经有一个可操作性的业务流程管理系统,在大多数情况下,它可以用来满足本国际标准在这个现有的管理体系之上的要求。”
反思与检讨
刚入门的职员甚至技术类的信息安全专员们可能并不喜欢综合管理系统,文档的格式化要求看起来有些复杂。其实,看似局部复杂的东西,一经整合,反倒会使整体变得简单。针对不同的标准,很多可复用的部分,一旦集成起来,可以省出很多重复性的工作。比如服务外包领域的认证,今天可能是IT服务管理,明天可能是软件质量管理,后天可能是云服务管理,它们之间有相同的或重复性的文件和流程,就要以合并起来,以节省工作资源。
有些职员们不喜欢综合管理系统的一个重要原因是没有认识到好处,进一步深究,即是没有得到系统的制度化工作培训,缺乏这方面的实践。对此,董志军表示:让职员们了解管理体系的政策、标准和流程,以及与自身日常工作的关系,是非常必要的。昆明亭长朗然科技有限公司不仅在信息安全领域创作了大量的宣传教程,以帮助职员们理解和认识信息安全政策、标准和流程的精神要义;同时也在更为广泛的安全领域,创作了大量的安全生产、职业卫生、职场健康和环境保护等话题的宣传资源。欢迎重视制度化管理,希望建立安全文化的组织机构联系我们,预览我们的课程内容,以及洽谈合作事宜。
昆明亭长朗然科技有限公司
- 电话:0871-67122372
- 手机:18206751343
- 微信:18206751343
- 邮箱:[email protected]
- QQ:1767022898