如今,信息资产的重要性已经不言而喻,但是随着组织信息安全管理体系的数量、复杂性的增加,信息系统面对的危险也越来越大,包括非法入侵、黑客攻击、人为损坏、天灾人祸等,而这些信息资产的破坏不仅会给组织的IT基础设施带来严重的损失,更会影响到业务系统的正常运行。因此,英国标准协会(BSI)于1995年2月提出了ISO标准,并于同年5月对该标准进行了重新修订,把ISO标准分为两个部分。
第一部分BS7799-1信息安全管理实施规则,是组织实施信息安全管理体系的指导准则。将信息安全分为10个方面,分别为:安全策略、组织的安全、资产分类管理、人员安全、物力和环境安全、通信和操作管理、系统访问控制、系统开发和维护、业务持续性管理和符合性。
第二部分BS7799-2信息安全管理体系规范,说明建立、实施和维护信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应制定一套风险评估体系来鉴定实施安全控制的要求。
2000年12月1日,国际标准化组织(ISO)将BS7799-1修订再版为ISO/IEC17799标准。
2005年,ISO组织对BS7799-2进行修订采用为ISO27001:2005。
ISO27001认证:2005超越传统IT范围,着重于组织整体的信息安全管理。
ISO/IEC27001:2005的风险评估包括两个方面:一方丽在IT的CIA(信息的保密性、完整性、可用性)遭到破坏后对组织带来的伤害和影响进行评估;另一方面是对这种威胁和破坏以及实际的合理,控制而发生的实际可能性进行评估。
ISO27001认证:2005定义了完整的信息安全流程管理,有助于组织预测危险性事件发生造成的后果,井采取措施规避这些事件的发生。
ISO20000的13个流程中,信息、安全管理流程明确指出,只要组织符合BS7799标准的范畴大于ISO20000的标准范畴,就能满足ISO20000中信息安全管理流程的要求,若组织中只有某些部门符合BS7799标准,则该组织无法符合ISO20000的标准。
在ISO20000和ISO27001认证中都有对文档体系的要求,如果一个组织要同时执行这两套标准,在文档体系应尽量采取兼容的方式,避免出现完全独立的两套文档体系。一个可行的办法是以ISO20000认证的文档体系为主要文档体系,将信息安全的要求落实到具体的流程管理文档、技术文档中,或作为ISO20000中信息安全管理流程的管理文档。
除文档体系的融合外,另一个需要融合的领域是指标体系的融合。ISO27001认证的133个控制点覆盖面非常广,可以在ISO20000的流程指标中融入安全的要求,在必要的领域设置专门的安全类指标,整合为一个完整的指标体系,使两个体系可以完全融合。
立标顾问专注验厂15年以上资质,有任何的认证、验厂服务欢迎咨询立标企业管理顾问机构——13662586595罗经理(微信同号)
共有条评论 网友评论