信息安全标准与其他管理系统的兼容性及可集成性

经过多年的发展,信息安全管理体系标准逐渐同ISO 9001质量管理体系和ISO 14001环境管理体系等等之间建立了和谐的关系。在多项工作的方法论上进行了统一,这一步骤反映了一些组织将信息安全同其管理系统进行整合和一致性调整的尝试。对此,昆明亭长朗然科技有限公司信息安全研究员董志军表示:很多企业机构都建立有标准化的制度体系,往往以文档管理系统的方式而存在,按照框架来讲,不管是质量、安全、环境、可持续发展、风险管理、业务持续还是信息安全等等,都可以使用该框架。

ISO 27001 附录C以及整合
ISO 27001 附录C只是参考性的,而非强制性的——并没有组织被要求来设法整合进它的管理系统。附录C列出了其中个别条文如何对应ISO 9001和ISO 14001中的条文。对于大多数,但不是所有的组织来讲,关键的对应关系将是ISO 27001与ISO 9001的。如下的ISO 27001条文是管理系统集成的出发点:
1) 第4.3条,其中涉及文档需求
2) 第5.1条,其中涉及管理层承诺
3) 第7条,其中涉及管理审查
4) 第6条,其中涉及内部审计。
他们之间这些相同的条文,使两个管理系统可能部署共同的文件体系、管理以及审核流程。

综合管理系统
一套综合管理系统只需要:
1) 一份程序手册,其中包含质量和信息安全的程序
2) 一套全面和综合的审计程序,内容包括审查过程所有方面的活动
3) 标准的管理授权、批准、监测和审查流程,它将处理所有落在这些适用范围内的活动,这些范围包括信息安全管理体系,质量管理体系或环境管理体系。

ISO 9001
已经拥有同ISO 9001标准相兼容的系统的组织可以很简单地添加一些,就可获得ISO27001认证认可的信息安全管理体系。条文1.2已经提到这一点:
“如果一个组织已经有一个可操作性的业务流程管理系统,在大多数情况下,它可以用来满足本国际标准在这个现有的管理体系之上的要求。”

反思与检讨

刚入门的职员甚至技术类的信息安全专员们可能并不喜欢综合管理系统,文档的格式化要求看起来有些复杂。其实,看似局部复杂的东西,一经整合,反倒会使整体变得简单。针对不同的标准,很多可复用的部分,一旦集成起来,可以省出很多重复性的工作。比如服务外包领域的认证,今天可能是IT服务管理,明天可能是软件质量管理,后天可能是云服务管理,它们之间有相同的或重复性的文件和流程,就要以合并起来,以节省工作资源。

有些职员们不喜欢综合管理系统的一个重要原因是没有认识到好处,进一步深究,即是没有得到系统的制度化工作培训,缺乏这方面的实践。对此,董志军表示:让职员们了解管理体系的政策、标准和流程,以及与自身日常工作的关系,是非常必要的。昆明亭长朗然科技有限公司不仅在信息安全领域创作了大量的宣传教程,以帮助职员们理解和认识信息安全政策、标准和流程的精神要义;同时也在更为广泛的安全领域,创作了大量的安全生产、职业卫生、职场健康和环境保护等话题的宣传资源。欢迎重视制度化管理,希望建立安全文化的组织机构联系我们,预览我们的课程内容,以及洽谈合作事宜。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898

ISO27000信息安全标准背景

不管从事哪个行业,哪项工作,了解行业标准不失为一项必修功课。即使泛泛地了解,在一个大的全景下,审视我们所从事的日常工作。当然,有的标准很概要,有的很细致,不同的标准对具体工作的指导作用不同,有的是强制性的,有的仅具参考。但是无论如何,了解它们,尤其是那些总括性的行业标准,对于从业人员开拓行业视野,都有莫大的帮助。信息安全行业是一个综合性的行业,传统上有管理和技术两类岗位可选,对于管理岗位来讲,信息安全管理体系标准是必须深入学习和了解的。

关于信息安全标准,昆明亭长朗然科技有限公司安全专员董志军说:如同所有标准一样,信息安全标准也经历了并且继续经历着一个历史和发展的过程,如下,我们简单地回顾一下过往,以便我们了解更多相关的历史背景。

信息安全标准,BS7799最初是在1999年4月份作为两个部分进行发布。

第一部分,《信息安全管理实施细则》,Code Of Practice for Information Security Management,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定各类信息系统通用控制范围的唯一参考基准,并且适用于 大、中、小组织。

第二部分,《信息安全管理体系规范》,Specification for Information Security Management Systems.,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。两部分标准的关联是第二部分的附件A中列出了所有的信息安全控制措施,以供组织考虑和加以选择。这些控管措施和标准的第一部分中的控管措施是一致的,并且第二部分要求用户到第一部分中寻找详细的关于实施和部署的指导意见。

由于BS7799第一部分开始被其它国家的标准化组织吸收和采用,并发布类似的标准。所以2000年12月,BS7799-1:1999《信息安全 管理实施细则》通过了国际标准化组织ISO/IEC的认可,正式成为国际标准——ISO/IEC17799:2000《信息技术—信息安全管理实施细 则》。2002年,BSI对BS7799-2:2000《信息安全管理体系规范》进行了改版,发布了BS7799-2:2002《信息安全管理体系规范》。这次的重大修订包括:

  • 统一了标准两个部分章节的排序;
  • 引入并应用PDCA过程模式到标准中;
  • 添加了ISMS的持续改进;
  • 改进标准及附属章节,以便与其他管理标准协调一致,这些标准如ISO9001:2000以及ISO14001:1996

2005年6月,ISO组织对ISO/IEC 17799进行了改版,新版标准为 ISO/IEC 17799:2005《信息技术—安全技术—信息安全管理实施细则》。不少发达的国家如捷克、丹麦、荷兰、芬兰、法国、德国、冰岛、日本、韩国、挪威、葡萄牙和瑞典等等对这一标准进行了本地语言的翻译,中国也对此做了翻译。2005年10月,BS7799-2:2002通过了国际标准化组织ISO的认可,正式成为国际标准 ISO/IEC 27001:2005《信息技术—安全技术—信息安全管理体系—要求》。

ISO27001用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系提供模型。(Information Security Management System,简称ISMS)采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受业务需求和目标、安全需求、所采用的过程以 及组织的规模和结构的影响。上述因素及其支持过程会不断发生变化。期望信息安全管理体系可以根据组织的需求而测量,例如简单的情形可采用简单的ISMS解 决方案。

ISO27001标准可以作为评估组织满足顾客、组织本身及法律法规的信息安全要求的能力的依据,无论是组织自我评估还是评估供方能力,都可以采用,也可以用作独立第三方认证的依据。2007年4月ISO/IEC 17799:2005标准直接更改标准编号为ISO/IEC 27002。

当下,信息安全管理体系ISO 27000系列共包括10个标准,分别为:

  • ISO/IEC 27000:2009《信息安全管理体系基础和词汇》;
  • ISO/IEC 27001:2013《信息安全管理体系要求》;
  • ISO/IEC 27002:2013《信息安全管理实用规则》;
  • ISO/IEC 27003:2010《信息安全管理体系实施指南》;
  • ISO/IEC 27004:2009《信息安全管理测量》;
  • ISO/IEC 27005:2008《信息安全风险管理》;
  • ISO/IEC 27006:2007《认证机构要求》;
  • ISO/IEC 27007《信息安全管理体系审核指南》;
  • ISO/IEC 27008《控制审核员指南》;

可以确定的是,随着时代的进步,ISO/IEC 27000系列标准还将继续发展和演变下去,不过未来的所有变化,也不会有太大的偏离。万变不离其宗,对于大部分信息安全管理从业人员来讲,深入了解27001、27002、27003的精要,掌握其中的方法论,是可以享用一辈子知识财富。昆明亭长朗然科技有限公司帮助各类型的客户加强与工作人员们的信息安全沟通,这是信息安全管理体系标准的明文要求,也是所有建立信息安全管理体系的组织机构的基础工作,原因很简单,信息安全离不开人员。我们有大量的信息安全意识宣教内容,可以帮助工作人员在日常工作时了解安全威胁、掌握安全知识、付诸安全行为。欢迎有兴趣了解更多的信息安全从业人员联系我们,预览作品和洽谈采购合作。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898