1背景介紹
(1)什么是ISO27001
與ISO9000標(biāo)準(zhǔn)類似,ISO27001:2005也是一種國際標(biāo)準(zhǔn)。ISO27001主要關(guān)注企業(yè)和組織的信息安全,它提供了一套綜合的、由信息安全最佳慣例組成的實(shí)施規(guī)則,其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的參考基準(zhǔn),并且適用于大、中、小組織。
(2)ISMS和ISO27001關(guān)系
ISMS(Information Security Management System)是信息安全管理系統(tǒng)英文縮寫,是依據(jù)ISO27001所規(guī)定11個(gè)控制域、133個(gè)控制點(diǎn)所制定的信息安全管理文檔體系。
ISMS文檔體系可以根據(jù)不同企業(yè)、組織的業(yè)務(wù)模式和IT基礎(chǔ)不同而有所不同。
(3)運(yùn)營商為什么要進(jìn)行ISMS體系建設(shè)
開展ISMS體系建設(shè),可以在以下幾個(gè)方面提升運(yùn)營商的核心競(jìng)爭力:
a)實(shí)現(xiàn)IT系統(tǒng)運(yùn)維流程化、制度化、標(biāo)準(zhǔn)化;
b)有效開展IT系統(tǒng)安全運(yùn)維KPI考核,提升IT系統(tǒng)安全運(yùn)維水平;
c)減少可能潛在的風(fēng)險(xiǎn)隱患,減少信息系統(tǒng)故障、人員流失帶來的經(jīng)濟(jì)損失;
d)強(qiáng)化員工的信息安全意識(shí),規(guī)范組織信息安全行為;
e)在信息系統(tǒng)受到侵襲時(shí),確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度;
f)保護(hù)企業(yè)的知識(shí)產(chǎn)權(quán)、商標(biāo)、競(jìng)爭優(yōu)勢(shì);
g)維護(hù)企業(yè)的聲譽(yù)、品牌和客戶信任。
2 建設(shè)內(nèi)容
2.1 ISMS文檔體系
ISMS安全體系建設(shè)嚴(yán)格按照ISO27001:2005標(biāo)準(zhǔn)所規(guī)定的11個(gè)安全域的控制項(xiàng)和控制點(diǎn)進(jìn)行。其中11個(gè)安全域包括:安全策略、信息安全組織、資產(chǎn)管理、人員安全、物理和環(huán)境安全、通信和操作管理、訪問控制、信息獲取開發(fā)和維護(hù)、信息安全事故管理、業(yè)務(wù)可持續(xù)性、符合性。
ISMS安全體系文檔總共由三個(gè)層次構(gòu)成:
(1)一級(jí)文件:信息安全管理手冊(cè)
依據(jù)ISO/IEC27001:2005《信息安全管理體系要求》,結(jié)合企業(yè)自身的具體情況編寫而成。在信息安全管理手冊(cè)中將闡明組織的信息安全目標(biāo)和方針,對(duì)信息安全管理體系做出概括性敘述,是組織對(duì)外實(shí)施信息安全保證、對(duì)內(nèi)進(jìn)行信息安全管理的綱領(lǐng)性文件。信息安全管理手冊(cè)所采用的條款與ISO/IEC27001:2005《信息安全管理體系要求》中的條款編寫一致,并結(jié)合組織的特點(diǎn)編寫了程序文件和記錄文件,形成了信息安全管理標(biāo)準(zhǔn),使信息安全管理體系有章可循、有法可依。
(2)二級(jí)文件:程序及策略文件
程序及策略文件是針對(duì)信息安全各方面工作的,是對(duì)信息安全方針和策略內(nèi)容的進(jìn)一步落實(shí),描述了某項(xiàng)信息安全任務(wù)具體的操作步驟和方法,是對(duì)標(biāo)準(zhǔn)中各個(gè)安全領(lǐng)域內(nèi)工作的細(xì)化。主要包括資產(chǎn)管理、人員安全、信息設(shè)備管理程序、內(nèi)部審核程序、外包服務(wù)管理程序、業(yè)務(wù)持續(xù)性、符合性等文件。
(3)三級(jí)文件:記錄文件
記錄文件是實(shí)施各項(xiàng)信息安全程序的記錄成果,通常表現(xiàn)為記錄表格,是ISMS得以持續(xù)運(yùn)行的有力證據(jù),由各個(gè)相關(guān)部門自行維護(hù)。
2.2 ISMS支持系統(tǒng)
為了更好宣貫、落實(shí)已經(jīng)制定的ISMS文檔體系,需要建立與之配套的IT支持系統(tǒng)。主要包括:ISMS管理系統(tǒng)、機(jī)房和敏感區(qū)域出入管理系統(tǒng)。
(1)ISMS管理系統(tǒng)
可以通過在現(xiàn)有OA系統(tǒng)上增加一個(gè)版塊,形成ISMS管理體系模塊。該功能模塊主要解決ISMS文檔體系的版本管理、統(tǒng)一發(fā)布、分發(fā)反饋控制、文檔發(fā)布反饋、文檔作廢聲明等。
(2)機(jī)房和敏感區(qū)域出入管理系統(tǒng)
將ISMS文檔體系中關(guān)于機(jī)房出入管理的流程,采用OA電子工單方式實(shí)現(xiàn)申請(qǐng)、審批、開通權(quán)限的電子管理流程。
3建設(shè)成效
通過ISMS信息安全體系建設(shè),主要達(dá)到以下幾個(gè)效果:
(1)建立完整的信息安全管理體系
實(shí)現(xiàn)標(biāo)準(zhǔn)化(ISO/IEC27001:2005)、業(yè)界最佳實(shí)踐的結(jié)合;
完善安全管理組織機(jī)構(gòu)、人員崗位職責(zé);
完善各種技術(shù)規(guī)范、操作手冊(cè)等文檔;
建立、健全信息安全事件上報(bào)機(jī)制和應(yīng)急預(yù)案;
明確各個(gè)崗位人員的關(guān)于安全事故的獎(jiǎng)懲責(zé)任制。
(2)安全工作開展有條不紊
安全責(zé)任、目標(biāo)明確;
實(shí)現(xiàn)IT安全運(yùn)維標(biāo)準(zhǔn)化、制度化管理。
(3)部分日常運(yùn)維工作實(shí)現(xiàn)IT流程化
機(jī)房、敏感數(shù)據(jù)區(qū)域的出入流程融入OA的工單系統(tǒng);
強(qiáng)制從OA的工單系統(tǒng)走申請(qǐng)、審批、復(fù)核等流程;
任何操作都留下“蛛絲馬跡”,便于審計(jì);
安全運(yùn)維水平體現(xiàn)方式由模糊變?yōu)閿?shù)字化、指標(biāo)化。
(4)建立信息安全門戶網(wǎng)站
統(tǒng)一發(fā)布、管理ISMS文檔體系;
集中展現(xiàn)公司信息安全治理水平,各個(gè)部門安全考核得分;
常見安全問題Q&A;
安全工具集錦。
(5)持續(xù)提升安全水平
建立安全管理持續(xù)提升機(jī)制;
定期進(jìn)行安全回顧;
目標(biāo)調(diào)整,管理、技術(shù)兩方面改進(jìn)。
(6)為27001做準(zhǔn)備
可以為今后通過ISO/IEC27001做準(zhǔn)備。
放眼電信市場(chǎng),各大運(yùn)營商的轉(zhuǎn)型創(chuàng)新如火如荼。IT與電信迅速融為一體成為ICT,而IT為傳統(tǒng)通信產(chǎn)業(yè)注入無限活力的同時(shí),也引發(fā)了大量安全問題,能否解決這些安全問題,成為運(yùn)營商與競(jìng)爭對(duì)手拉開差距的關(guān)鍵,并已成為新的業(yè)務(wù)增長點(diǎn)。在此背景下,各大運(yùn)營商需要建立完善的信息安全管理體系(ISMS),通過國際權(quán)威機(jī)構(gòu)的安全,并不斷鞏固完善,旨在贏得國內(nèi)外客戶的信任與國際資本市場(chǎng)的青睞,為企業(yè)的持續(xù)健康發(fā)展保駕護(hù)航。