日韩动漫一区二区三区_看看国产女人毛多水多_國產精品一區二區綜合_AV无码在线成人_偷柏自拍亚洲综合图片15p_2017秋霞在线观看免费大奶子_欧美日本91精品久久久网_亚洲中文自拍另类精品视频_欧美在线视频亚洲_欧美黄色免费公开视频

專(zhuān)業(yè)認(rèn)證服務(wù)專(zhuān)線(xiàn) 138-6258-8960
當(dāng)前位置:首頁(yè) > 行業(yè)分類(lèi) > 軟件信息 > ISO27001信息安全管理體系
行業(yè)分類(lèi)
全國(guó)服務(wù)熱線(xiàn)

138-6258-8960

外包企業(yè)ISO27001信息安全管理的實(shí)踐探索
發(fā)布時(shí)間:2017-05-26 09:34:59 點(diǎn)擊次數(shù):484

自從商務(wù)部推出服務(wù)外包“千百十工程”之后,在政府政策的大力扶持之下,國(guó)內(nèi)外包產(chǎn)業(yè)發(fā)展的如火如荼,為了能夠承接更多高端服務(wù),滿(mǎn)足客戶(hù)的要求,商務(wù)部同時(shí)鼓勵(lì)外包企業(yè)通過(guò)國(guó)際認(rèn)證以獲得更好的競(jìng)爭(zhēng)力和良好的企業(yè)形象。ISO27001信息安全管理體系(ISMS)認(rèn)證在此背景下,在外包公司得到了比較廣泛的認(rèn)可。越來(lái)越多的外包公司已經(jīng)實(shí)施、或者計(jì)劃實(shí)施ISO27001認(rèn)證。為了更好地理解外包企業(yè)信息安全的需要,首先簡(jiǎn)要分析一下服務(wù)外包業(yè)務(wù)的特點(diǎn),當(dāng)然,由于信息安全是本文的發(fā)力點(diǎn),僅僅分析列出與信息安全相關(guān)的業(yè)務(wù)特點(diǎn): 

1. 知識(shí)密集型,對(duì)人才的要求很好 

外包服務(wù)屬于知識(shí)型密集產(chǎn)業(yè),很多業(yè)務(wù)都需要從業(yè)人員有相關(guān)的培訓(xùn)教育經(jīng)歷和豐富的實(shí)踐經(jīng)驗(yàn),與制造業(yè)有很大區(qū)別。因此外包需要的人力資源要求就高,而外包業(yè)務(wù)恰恰依賴(lài)的就是人。 

2. 外包成果無(wú)形化,難以量化評(píng)估 

外包最終的成果多數(shù)并非是實(shí)物化產(chǎn)品,而是一種服務(wù),這就難以將成果量化進(jìn)行評(píng)估,但是在某些方面也存在一些公認(rèn)的評(píng)價(jià)體系,如軟件外包領(lǐng)域內(nèi)CMMI國(guó)際認(rèn)證,這是對(duì)軟件外包接包商能力的一種評(píng)價(jià)指標(biāo)。另外,在考量接包方在客戶(hù)信息保密等方面,國(guó)際國(guó)內(nèi)客戶(hù)基本都已經(jīng)認(rèn)同ISO27001信息安全管理體系(ISMS)認(rèn)證,這是接包方在信息安全能力方面的評(píng)價(jià)框架。 

3. 很大程度上依賴(lài)互聯(lián)網(wǎng)和通信技術(shù) 

目前國(guó)內(nèi)外包業(yè)務(wù)大多數(shù)是離岸外包,雙方合作關(guān)系的確立以及業(yè)務(wù)的發(fā)展必須依賴(lài)互聯(lián)網(wǎng)和通信技術(shù)。對(duì)于互聯(lián)網(wǎng)和通信技術(shù)的過(guò)分依賴(lài)使得服務(wù)外包又具有了一種新的風(fēng)險(xiǎn),通信網(wǎng)絡(luò)的中斷將導(dǎo)致業(yè)務(wù)的中斷。 

服務(wù)外包企業(yè)的信息安全建設(shè)在政府政策的鼓勵(lì)以及客戶(hù)的要求的下,信息安全管控水平不斷提高,ISO27001信息安全管理體系(ISMS)認(rèn)證在外包企業(yè)也是強(qiáng)勁發(fā)展,盡管到目前為止,通過(guò)認(rèn)證的企業(yè)的絕對(duì)數(shù)不大,但是發(fā)展很快,而對(duì)于這些數(shù)據(jù)貢獻(xiàn),絕大部分是來(lái)自服務(wù)外包企業(yè)。盡管如此,但是服務(wù)外包企業(yè)對(duì)信息安全管理還是存在著較多誤區(qū),主要幾點(diǎn)歸納如下。 

1. 信息安全認(rèn)識(shí)誤區(qū) 

盡管?chē)?guó)內(nèi)的外包行業(yè)有將近10年度發(fā)展歷史,但是大的外包公司還不多,外包業(yè)務(wù)主要還是集中在軟件外包,而軟件外包的客戶(hù)主要是做日韓企業(yè)。日韓客戶(hù)一般對(duì)信息安全的要求都比較高,國(guó)內(nèi)外包企業(yè)這么多年在與客戶(hù)打交道時(shí),在客戶(hù)的要求,不斷提高企業(yè)自身的信息安全控制水平,但是在外包企業(yè)信息安全建設(shè)的過(guò)程中,出現(xiàn)了這樣或那樣的對(duì)信息安全建設(shè)的誤區(qū),其中的原因有迫于客戶(hù)的壓力來(lái)提升企業(yè)信息安全管理水平,主動(dòng)性要求不高,企業(yè)自身在信息安全方面的積累也不多,另外也有一些外包企業(yè)急功近利,為了迎合客戶(hù)的要求而僅僅做做表面文章。 


(1) 安全防御的重點(diǎn)是來(lái)自外部的攻擊 

由于媒體的報(bào)道以及一些安全產(chǎn)品廠商為了自身業(yè)務(wù)的需要而做的一些錯(cuò)誤的引導(dǎo),導(dǎo)致外包企業(yè),甚至其他行業(yè)的公司都認(rèn)為企業(yè)所面臨的威脅主要是來(lái)自外界。各類(lèi)安全威脅中,企業(yè)最重視哪3類(lèi)?據(jù)《信息周刊》的調(diào)查來(lái)看,病毒和蠕蟲(chóng),間諜軟件,垃圾郵件3類(lèi)威脅一直高居榜首。但是依據(jù)此3類(lèi)威脅部署的企業(yè)信息安全方案將僅限于信息安全產(chǎn)品的老三樣—防病毒、防火墻和IDS的老路上。實(shí)際上,企業(yè)內(nèi)部數(shù)據(jù)安全的危害性正在日益上升,如未經(jīng)授權(quán)的雇員對(duì)文件或數(shù)據(jù)的訪(fǎng)問(wèn)、帶有公司數(shù)據(jù)的可移動(dòng)設(shè)備遺失或失竊等,惡意員工故意破壞信息系統(tǒng)甚至泄漏企業(yè)機(jī)密等,但是這一點(diǎn)還沒(méi)有引起企業(yè)足夠的重視。 

信息技術(shù)市場(chǎng)調(diào)研公司高德納公司(Gartner)早些時(shí)候曾進(jìn)行信息安全事件的調(diào)查,發(fā)現(xiàn)有70%以上的事故是企業(yè)內(nèi)部所導(dǎo)致的。其實(shí)我們仔細(xì)想想并平時(shí)多留言一下自己身邊的事情,我們不難發(fā)現(xiàn),容量很大、攜帶方便的便攜式的移動(dòng)設(shè)備,比如U盤(pán)、手機(jī)、iPod等用在存取數(shù)據(jù)時(shí)經(jīng)常在不知不覺(jué)中,就充當(dāng)了病毒的傳播者。更可怕的是,小巧且讀寫(xiě)快速很快的U盤(pán)能在短短幾秒鐘之內(nèi)把企業(yè)和核心機(jī)密拷走而不被人發(fā)現(xiàn)。 

對(duì)于服務(wù)外包企業(yè)來(lái)說(shuō),由于人員的高素質(zhì),特別是對(duì)于IT服務(wù)外包的企業(yè),大多數(shù)員工都具有良好的IT知識(shí)和技能,利用IT系統(tǒng)做出不利于公司的欺詐和泄密事件,可能將更隱蔽和輕車(chē)熟路。這對(duì)于外包公司來(lái)說(shuō),無(wú)疑是個(gè)很大的威脅。 

外包企業(yè)應(yīng)該首先要提高認(rèn)識(shí),把信息安全防御的重點(diǎn)從外部防御轉(zhuǎn)向內(nèi)部教育和防范。加強(qiáng)對(duì)員工的信息安全意識(shí)教育,培訓(xùn)員工具備基本的安全技能。另外,從數(shù)據(jù)保密的角度上來(lái),對(duì)于重要機(jī)密信息,應(yīng)做好加密的技術(shù)措施。 


(2) 好的信息安全就是不出安全事故 

以是否發(fā)生安全事故作為企業(yè)信息安全工作好壞的衡量標(biāo)準(zhǔn),使得信息安全工作限于十分被動(dòng)的位置,這主要體現(xiàn)在兩個(gè)方面,一方面是對(duì)企業(yè)領(lǐng)導(dǎo)來(lái)說(shuō),特別是這些服務(wù)外包公司而言,由于很多公司的業(yè)務(wù)發(fā)展也沒(méi)幾年,而且也沒(méi)有成為外部威脅主動(dòng)攻擊的對(duì)象,這不像銀行系統(tǒng),因此發(fā)生足以引起領(lǐng)導(dǎo)層重視的信息安全事件不多,有些企業(yè)甚至沒(méi)有,所以,企業(yè)領(lǐng)導(dǎo)就盲目的認(rèn)為公司當(dāng)前信息安全防范工作已經(jīng)足夠,無(wú)須再投入更多的人力和物力來(lái)加強(qiáng)企業(yè)的信息安全建設(shè);另外一個(gè)方面是對(duì)企業(yè)內(nèi)部直接負(fù)責(zé)維護(hù)信息安全的IT部門(mén)來(lái)說(shuō),他們將面臨著巨大的壓力,因?yàn)檎l(shuí)又能保證百分百不出安全事故呢? 

其實(shí),之所以這么認(rèn)為,是沒(méi)有正確認(rèn)識(shí)的信息安全。世上萬(wàn)事萬(wàn)物不是絕對(duì)的,信息安全的處理應(yīng)該遵循風(fēng)險(xiǎn)管理的原則和方法。安全事件的發(fā)生與否也應(yīng)該以風(fēng)險(xiǎn)的方式來(lái)處理。對(duì)于某個(gè)可能發(fā)生的安全事件,分析導(dǎo)致其發(fā)生的根本原因,發(fā)生的可能性以及可能造成的后果,再判斷將要采取的應(yīng)對(duì)措施的有效性以及成本,根據(jù)企業(yè)風(fēng)險(xiǎn)的可接受水平,做出合理的風(fēng)險(xiǎn)處置方案。 


(3) 頭疼醫(yī)頭就足夠了 

企業(yè)安全管理過(guò)于分散也是不容忽視的問(wèn)題。信息安全在國(guó)內(nèi)的發(fā)展以及市場(chǎng)上也不乏優(yōu)良的安全技術(shù),但其部署往往是“頭痛醫(yī)頭,腳痛醫(yī)腳”,彼此間不能妥善協(xié)作,這不但會(huì)造成資源浪費(fèi),還會(huì)在安全部署上留下漏洞。這種技術(shù)產(chǎn)品上處理問(wèn)題的方式給企業(yè)對(duì)信息安全問(wèn)題的解決的認(rèn)識(shí)帶來(lái)如此的偏見(jiàn)。在信息安全管理方面,也是同樣存在同樣的問(wèn)題。 

針對(duì)這個(gè)問(wèn)題,提高認(rèn)識(shí)當(dāng)然是當(dāng)務(wù)之急,但是要落實(shí)變成可執(zhí)行的制度和流程,那么外包企業(yè)需要制定整體信息安全戰(zhàn)略、業(yè)務(wù)持續(xù)及災(zāi)難恢復(fù)戰(zhàn)略和計(jì)劃、配置架構(gòu)的標(biāo)準(zhǔn)和流程以及致力于知識(shí)產(chǎn)權(quán)和信息保護(hù)的政策和流程,并執(zhí)行定期的穿透測(cè)試、威脅和弱點(diǎn)評(píng)估及風(fēng)險(xiǎn)評(píng)估。 



體系咨詢(xún)
ISO9001認(rèn)證咨詢(xún)
ISO14001認(rèn)證咨詢(xún)
OHSMS18001認(rèn)證咨詢(xún)
關(guān)于我們
公司簡(jiǎn)介
企業(yè)文化
聯(lián)系方式
聯(lián)系人:常老師
電 話(huà):138-6258-8960
郵 箱:376036130@qq.com
地 址:蘇州高新區(qū)光福工業(yè)園光電路10B
關(guān)注我們

頁(yè)面版權(quán)所有 ? 2018 蘇州蘇諾認(rèn)證咨詢(xún)有限公司    蘇ICP備2023000833號(hào)-1