如今,信息資產的重要性已經不言而喻,但是隨著組織信息安全管理體系的數量、復雜性的增加,信息系統面對的危險也越來越大,包括非法入侵、黑客攻擊、人為損壞、天災人禍等,而這些信息資產的破壞不僅會給組織的IT基礎設施帶來嚴重的損失,更會影響到業務系統的正常運行。因此,英國標準協會(BSI)于1995年2月提出了ISO標準,并于同年5月對該標準進行了重新修訂,把ISO標準分為兩個部分。
第一部分BS7799-1信息安全管理實施規則,是組織實施信息安全管理體系的指導準則。將信息安全分為10個方面,分別為:安全策略、組織的安全、資產分類管理、人員安全、物力和環境安全、通信和操作管理、系統訪問控制、系統開發和維護、業務持續性管理和符合性。
第二部分BS7799-2信息安全管理體系規范,說明建立、實施和維護信息安全管理體系(ISMS)的要求,規定了根據獨立組織的需要應制定一套風險評估體系來鑒定實施安全控制的要求。
2000年12月1日,國際標準化組織(ISO)將BS7799-1修訂再版為ISO/IEC17799標準。
2005年,ISO組織對BS7799-2進行修訂采用為ISO27001:2005。
ISO27001認證:2005超越傳統IT范圍,著重于組織整體的信息安全管理。
ISO/IEC27001:2005的風險評估包括兩個方面:一方麗在IT的CIA(信息的保密性、完整性、可用性)遭到破壞后對組織帶來的傷害和影響進行評估;另一方面是對這種威脅和破壞以及實際的合理,控制而發生的實際可能性進行評估。
ISO27001認證:2005定義了完整的信息安全流程管理,有助于組織預測危險性事件發生造成的后果,井采取措施規避這些事件的發生。
ISO20000的13個流程中,信息、安全管理流程明確指出,只要組織符合BS7799標準的范疇大于ISO20000的標準范疇,就能滿足ISO20000中信息安全管理流程的要求,若組織中只有某些部門符合BS7799標準,則該組織無法符合ISO20000的標準。
在ISO20000和ISO27001認證中都有對文檔體系的要求,如果一個組織要同時執行這兩套標準,在文檔體系應盡量采取兼容的方式,避免出現完全獨立的兩套文檔體系。一個可行的辦法是以ISO20000認證的文檔體系為主要文檔體系,將信息安全的要求落實到具體的流程管理文檔、技術文檔中,或作為ISO20000中信息安全管理流程的管理文檔。
除文檔體系的融合外,另一個需要融合的領域是指標體系的融合。ISO27001認證的133個控制點覆蓋面非常廣,可以在ISO20000的流程指標中融入安全的要求,在必要的領域設置專門的安全類指標,整合為一個完整的指標體系,使兩個體系可以完全融合。
立標顧問專注驗廠15年以上資質,有任何的認證、驗廠服務歡迎咨詢立標企業管理顧問機構——13662586595羅經理(微信同號)
共有條評論 網友評論