ISMS ISO27001认证介绍
1.?? ISMS认证
1.1??????? 什么是ISMS认证
1.2??????? 为什么要进行ISMS认证
1.3??????? ISMS认证适合何种类型的组织
1.4??????? 全球ISMS认证状况及发展趋势
1.5??????? 如何建设ISMS并取得认证
1.???? ISMS认证
1.1?? 什么是ISMS认证
所谓认证,即由可以充分信任的第三方认证机构依据特定的审核准则,按照规定的程序和方法对受审核方实施审核,以证实某一经鉴定的产品或服务符合特定标准或规范性文件的活动。
针对ISO/IEC 27001的受认可的认证,是对组织ISMS符合ISO/IEC 27001 要求的一种认证。这是一种通过权威的第三方审核之后提供的保证:受认证的组织实施了ISMS,并且符合ISO/IEC 27001标准的要求。通过认证的组织,将会被注册登记。
1.2?? 为什么要进行ISMS认证
根据CSI/FBI的Computer Crime and Security Survey2005中的统计, 65%的组织至少发生了一次信息安全事故,而在这份报告中同时表明有97%的组织部署了防火墙,96%组织部署了杀毒软件。可见,我们的信息安全手段并不奏效,信息安全现状不容乐观。
实际上,只有在宏观层次上实施了良好的信息安全管理,即采用国际上公认的最佳实践或规则集等,才能使微观层次上的安全,如物理措施等,实现其恰当的作用。采用ISMS标准并得到认证无疑是组织应该考虑的方案之一。
1)??????? 预防信息安全事故,保证组织业务的连续性,使组织的重要信息资产受到与其价值相符的保护,包括防范:
l? 重要的商业秘密信息的泄漏、丢失、篡改和不可用;
l? 重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断;
2)??????? 节省费用。一个好的ISMS不仅可通过避免安全事故而使组织节省费用,而且也能帮助组织合理筹划信息安全费用支出,包括:
l? 依据信息资产的风险级别,安排安全控制措施的投资优先级;
l? 对于可接受的信息资产的风险,不投资安全控制;
3)??????? 保持组织良好的竞争力和成功运作的状态,提高在公众中的形象和声誉,最大限度的增加投资回报和商业机会;
4)??????? 增强客户、合作伙伴等相关方的信任和信心。
1.3?? ISMS认证适合何种类型的组织
ISO/IEC 27001:2005中明确指出,标准中规定的要求是通用的,适用于所有的组织,无论其类型、规模和业务性质怎样。
ISO/IEC 27001:2005可以作为评估组织满足客户、组织本身以及法律法规所确定的信息安全要求的能力的依据,无论是自我评估还是独立第三方认证。
就目前国内发展来看,最先确定实施ISMS 并考虑接受ISO/IEC 27001:2005认证的组织,其驱动力都比较明显,这种驱动力可以是外部的,也可以是发自内部的。这些组织主要集中在以下几个行业:
u 半导体行业:尤其是主业为集成电路芯片制造的组织。由于国内最近几年IC 产业发展迅猛,大量国外设计企业的制造订单都飞往国内一些大型的芯片制造企业,鉴于IP(知识产权)保护的重要性,来自国外客户的明确要求,使得国内芯片制造企业必须在信息安全管理方面做出保证,ISO/IEC 27001:2005证书就是最好的选择。
u 软件外包行业:情况与芯片制造企业类似,近年来,承担软件定制开发的很多企业,也面临外部客户明确提出的信息保护的要求。
u 金融业和保险业:一直以来,金融和保险行业对信息安全的重视都是非常高的,保护客户信息、保证业务运转的可靠性和持续性,这都是此行业组织实施ISMS,并寻求认证的驱动力。
u 通讯行业:特别是一些大型的通信设备提供商,由于牵涉到对自身核心技术的保护,对信息安全加以重视并全面实施信息安全管理体系就成了这些企业必然的选择。
u 电子商务行业:对于电子商务交易平台、电子商务支付平台,由于客户以及合作伙伴对交易过程的高度安全需求,导致这类组织都会在信息安全建设方面加大投入建设,全面的信息安全管理体系。
u 其他行业:只要是涉及到IP 保护、行业规范和法律法规要求、自身发展需求的,组织都会逐渐在信息安全建设上加强力度,就拿美国Sarbanes-Oxley 法案(萨班斯法案,简称SOX 法案)来说,由于对在SEC 注册的上市公司提出了内部控制审核的要求,相关组织必然会在信息安全方面投入关注,因为信息安全控制是企业内部控制必不可少的一个部分。
1.4?? 全球ISMS认证状况及发展趋势
1.4.1???? 全球ISMS证书统计
自2002年以来,全球许多组织开始建立和实施ISMS,并认识到ISMS认证给组织带来的利益。截至Saturday, 06 January 2007,全球通过的ISMS认证的组织已达3274家,其中包括我国大陆的41家(在xisec网站上列出了39个证书的企业名称),台湾112家,香港26家和澳门3家。
1.4.2???? 中国ISMS证书统计
中国大陆地区目前已经取得ISMS认证的企业有44家(xisec网站上只统计了41个证书),大多数都是从去年下半年开始新出现的,详见表二。
在这44个证书中,按位置划分:上海11家;深圳9家;大连6家;北京8家;沈阳 2家;厦门、辽宁、嘉兴、山东、苏州、东莞、广州、四川各1家。
按行业划分:生产业企业有10家;软件开发是10家;通信业有8家; IT服务5家;咨询业3家;电力行业2家;保险业 2家;广告、业务流程外包、数据恢复、互联网各1家。
1.4.3???? 中国政府关注ISMS
u?? 2000年4月,北京知识安全中心把ISMS介绍给国信安办(原);
u?? 2002年4月,认监委与国信办在中认大厦召开国家ISMS认证认可高层研讨会;
u?? 2002年11月,信安标委WG7开始研究和制定ISMS国家标准;
u?? 2004年4月,认监委在其办公大楼会议室召开ISMS认证认可工作会议;
u?? 2005年6月15日,我国发布第一个ISMS国家标准“GB/T19716-2005信息安全管理实用规则”,该标准修改采用ISO/IEC17799:2000;
u?? 2006年2月,国信办在5个单位开展ISMS标准应用试点工作:国家税务总局、证监会、北京、上海、武钢;
u?? 2006年3月,认监委批准4家ISMS试点认证机构:信产部4所、华夏认证中心、上海认证中心、赛宝认证中心;
1.4.4???? ISMS认证发展趋势
自2002年以来,根据ISMS官方网站陆续公布的数字,全球ISMS证书数量每年都在成倍增长,下图体现了ISMS证书在全球范围快速的趋势。
从这些统计数字可以看出,ISMS做为管理体系家族的一支新秀,正在成为全球企业解决信息安全问题、提高其竞争力的选择。
1.5?? 如何建设ISMS并取得认证
组织在确定实施ISMS建设及认证项目后,通常有两种途径可以去操作以取得ISMS认证,两种途径各有所长,关键是看组织自身所具备的特点和看问题的角度。
一:组织内部成立专人专项工作组,按照计划自我实施。
u? 适合对象:组织规模不大、业务模式简单、信息系统也不复杂。
u? 优??? 点:自我实施比较经济快捷。
u? 缺??? 点:要求组织有胜任的人员,且对信息安全的认识和运作已经达到了一定高度。
二:选择有实力的咨询机构,帮助组织完成项目。
u? 适合对象:组织规模较大、组织结构相互关联、对IT的依赖广泛,更重要的是,组织本身对信息安全的意识和运作还处于较低水平,或者发展并不均衡。
u? 优??? 点:咨询机构会把一些成熟的经验移植过来,以最直接快速的方式发现组织现有问题并对症下药。此外,有经验的咨询机构和顾问通常都能比较好地把握认证机构的“偏好“和习惯,这一点尤其对最终通过认证尤其重要。一般来说,咨询机构可以在人员培训、全程辅导、后续支持等方面给予组织大力的支持。
u? 缺??? 点:组织须承担相关的咨询费用。
当然,无论是选择自我实施,还是请外部的咨询机构和顾问,组织都应该知道,实施ISMS 认证项目,必须要有一套行之有效的方法,事先要对整个过程做好计划。
在建设ISMS的方法上,ISO/IEC 27001:2005标准为我们提供了指导性建议,即基于PDCA 的持续改进的管理模式;另一方面,ISMS 实施及认证项目可以借鉴很多成熟的管理体系实施方法,比如ISO9001 、ISO14001 、TS16949 等管理体系。
