盗墓笔记全集,欢乐颂第二季,完美世界有声小说全集

信息安全與ISO27001國際標(biāo)準(zhǔn)

深圳ISO認(rèn)證 — Sat, 30 Jan 2016 06:22:25 +0000

IT治理和信息安全
近年來企業(yè)高層對內(nèi)部治理需求越來越實際而具體。隨著信息技術(shù)普遍滲透到企業(yè)組織中的各個方面，企業(yè)越來越依賴IT系統(tǒng)來處理和儲存各種信息，以保證業(yè)務(wù)正常運營，由此IT系統(tǒng)在企業(yè)治理中的作z用越來越明晰，IT治理也逐漸被大多數(shù)企業(yè)認(rèn)可，成為董事會和企業(yè)內(nèi)部共同關(guān)注的領(lǐng)域。IT治理的基礎(chǔ)部分是信息安全保護(hù)——包括確保信息的可用性、機密性和完整性——這是其他IT治理環(huán)節(jié)實施的前提。與此同時，和信息安全相關(guān)的國際標(biāo)準(zhǔn)已經(jīng)出臺，成為標(biāo)準(zhǔn)IT治理框架中的一大基石。

信息安全和法律法規(guī)
業(yè)內(nèi)人士對ISO27001認(rèn)證趨之若鶩，這其中有兩個關(guān)鍵性的驅(qū)動因素：一是日益嚴(yán)峻的信息安全威脅，二是不斷增長的信息保護(hù)相關(guān)法規(guī)的需求。
本質(zhì)上說，信息安全威脅是全球化的。一般來說，它將毫無差別地輻射到每一個擁有、使用電子信息的機構(gòu)和個人。這種威脅在因特網(wǎng)的環(huán)境中自動生成并釋放。更嚴(yán)重的問題是，其他各種形式的危險也在整日威脅數(shù)據(jù)安全，包括從外部攻擊行為到內(nèi)部破壞、偷盜等一系列危險。
過去的十年內(nèi)，圍繞信息和數(shù)據(jù)安全問題建立起來的法律法規(guī)體系從無到有、不斷壯大，其中包括專門針對個人數(shù)據(jù)保護(hù)問題的，也有針對企業(yè)財政、運營和風(fēng)險管理體系建立的法規(guī)保障問題的。一套正式規(guī)范的信息安全管理體系應(yīng)當(dāng)可以提供最佳實踐部署指導(dǎo)。目前，建立這樣的管理體系逐漸成為諸多合規(guī)項目的必要條件，與此同時，針對該管理體系的認(rèn)證逐漸成為各種組織（包括政府部門）的熱門需求，這份認(rèn)證可以為他們帶來重要的潛在商業(yè)合同。
信息安全和技術(shù)
絕大多數(shù)人認(rèn)為信息安全是一個純粹的有關(guān)技術(shù)的話題，只有那些技術(shù)人員，尤其是計算機安全技術(shù)人員，才能夠處理任何保障數(shù)據(jù)和計算機安全的相關(guān)事宜。這固然有一定道理。不過，實際上，恰恰是計算機用戶本身需要考慮這樣的問題：避免哪些威脅？在信息安全和信息通暢中如何平衡取舍？的確如此，一旦用戶給出答案，計算機安全專家就可以設(shè)計并執(zhí)行一個技術(shù)方案以達(dá)成用戶需求。
在組織內(nèi)部，管理層應(yīng)當(dāng)負(fù)責(zé)決策，而不是IT部門。一個規(guī)范的信息安全管理體系必須明確指出，組織機構(gòu)董事會和管理層應(yīng)當(dāng)負(fù)責(zé)相關(guān)信息安全管理體系的決策，同時，這個體系也應(yīng)當(dāng)能夠反映這種決策，并且在運行過程中能夠提供證據(jù)證明其有效性。
所以機構(gòu)組織內(nèi)部的信息安全管理體系的建立項目不必由一個技術(shù)專家來領(lǐng)導(dǎo)。事實上，技術(shù)專家在很多情況下起到相反的作用，可能會阻礙項目進(jìn)程。因此，這個項目應(yīng)該由質(zhì)量管理經(jīng)理、總經(jīng)理或者其他負(fù)責(zé)機構(gòu)內(nèi)部重大職能的執(zhí)行主管負(fù)責(zé)主持。
信息安全標(biāo)準(zhǔn)
1995年，英國標(biāo)準(zhǔn)機構(gòu)（BSI）發(fā)布BS7799標(biāo)準(zhǔn)，即ISMS（信息安全管理體系），旨在規(guī)范、引導(dǎo)信息安全管理體系的發(fā)展過程和實施情況。BS7799標(biāo)準(zhǔn)被外界認(rèn)為是一個不偏向任何技術(shù)、任何企業(yè)和產(chǎn)品供應(yīng)商的價值中立的管理體系。只要實施得當(dāng)，BS7799標(biāo)準(zhǔn)將幫助企業(yè)檢查并確認(rèn)其信息安全管理手段和實施方案的有效性。
從企業(yè)外部來看，BS7799關(guān)注信息的可用性、機密性和完整性，至今這仍然是這項標(biāo)準(zhǔn)致力達(dá)到的目標(biāo)。BS7799集中關(guān)注企業(yè)組織層面上的風(fēng)險規(guī)避（一定程度上主要是商業(yè)和金融風(fēng)險），而不包括避免每一個潛在風(fēng)險的保護(hù)措施——盡管它們至關(guān)重要。
BS7799最初僅有一份文檔，且具有明顯的實踐指南性質(zhì)。也就是說，它為組織提供信息安全指引，但沒有形成規(guī)范，不能為外部第三方審計和認(rèn)證等提供依據(jù)。隨著越來越多的企業(yè)開始認(rèn)識到來自信息安全的威脅波及范圍越來越廣，影響程度越來越大，并且關(guān)于數(shù)據(jù)和隱私權(quán)保護(hù)的法律法規(guī)不斷出臺，信息安全標(biāo)準(zhǔn)認(rèn)證的需求開始不斷增加。（安信達(dá)咨詢znojukyf.cn）
這種需求的增加最終促成了該項標(biāo)準(zhǔn)第二部分的出臺，即標(biāo)準(zhǔn)規(guī)范。實踐指南和標(biāo)準(zhǔn)規(guī)范之間的關(guān)系是這樣的：標(biāo)準(zhǔn)規(guī)范是認(rèn)證方案的基礎(chǔ)，同時標(biāo)準(zhǔn)規(guī)范要求實踐者遵從實踐指南的指引。
許多國家也已發(fā)布了自己的相關(guān)標(biāo)準(zhǔn)，比如AS/NZS7799。這些標(biāo)準(zhǔn)的國際化版本可以在世界任何國家得到認(rèn)可，這促使了本土化標(biāo)準(zhǔn)的消退（除了基于兩個標(biāo)準(zhǔn)號碼基礎(chǔ)上的本土化標(biāo)準(zhǔn)以外）。
認(rèn)證與遵從
一個組織可以僅遵從ISO17799來建立和發(fā)展ISMS（信息安全管理體系），因為實踐指南中的內(nèi)容是普遍適用的。然而，由于ISO17799并非基于認(rèn)證框架，它不具備關(guān)于通過認(rèn)證所必需的信息安全管理體系的要求。而ISO/EC27001則包含這些具體詳盡的管理體系認(rèn)證要求。在技術(shù)層面來講，這就表明一個正在獨立運用ISO17799的機構(gòu)組織，完全符合實踐指南的要求，但是這并不足以讓外界認(rèn)可其已經(jīng)達(dá)到認(rèn)證框架所制定的認(rèn)證要求。不同的是，一個正在同時運用ISO27001和ISO17799標(biāo)準(zhǔn)的機構(gòu)組織，可以建立一個完全符合認(rèn)證具體要求的ISMS，同時這個ISMS體系也符合實踐指南的要求，于是，這一組織就可以獲得外界的認(rèn)同，即獲得認(rèn)證。
ISO27001認(rèn)證要求與其他管理標(biāo)準(zhǔn)
ISO27001標(biāo)準(zhǔn)是為了與其他管理標(biāo)準(zhǔn)，比如ISO9000和ISO14001等相互兼容而設(shè)計的，這一標(biāo)準(zhǔn)中的編號系統(tǒng)和文件管理需求的設(shè)計初衷，就是為了提供良好的兼容性，使得組織可以建立起這樣一套管理體系：能夠在最大程度上融入這個組織正在使用的其他任何管理體系。一般來說，組織通常會使用為其ISO9000認(rèn)證或者其他管理體系認(rèn)證提供認(rèn)證服務(wù)的機構(gòu)，來提供ISO27001認(rèn)證服務(wù)。正是因為這個緣故，在ISMS體系建立的過程中，質(zhì)量管理的經(jīng)驗舉足輕重。
但是有一點需要注意，一個組織如果沒有事先擁有并使用任何形式的管理體系，并不意味著該組織不能進(jìn)行ISO27001認(rèn)證。這種情況下，該組織就應(yīng)當(dāng)從經(jīng)濟(jì)利益考慮，選擇一個合適的管理體系的認(rèn)證機構(gòu)來提供認(rèn)證服務(wù)。認(rèn)證機構(gòu)必須得到一個國家鑒定機構(gòu)的委托授權(quán)，才能為認(rèn)證組織提供認(rèn)證服務(wù)，并發(fā)放認(rèn)證證書。大多數(shù)國家都有自己的國家鑒定機構(gòu)（比如：英國UKAS），任何獲得該機構(gòu)授權(quán)進(jìn)行ISMS認(rèn)證的機構(gòu)均記錄在案。
風(fēng)險評估和風(fēng)險應(yīng)對計劃
任何一個ISMS體系的建立和開發(fā)都應(yīng)當(dāng)滿足組織獨特的需求。每個組織不僅都有自己獨特的業(yè)務(wù)模式、運營目標(biāo)、形象特點和內(nèi)部文化，他們對待風(fēng)險的態(tài)度傾向也大相徑庭。換句話說，同一個東西，一個機構(gòu)組織認(rèn)為是必須提防的威脅，在另一個組織看來可能是一個必須抓住的機遇。同樣地，各個機構(gòu)組織對于既有風(fēng)險防護(hù)的投入也參差不齊?；谝陨匣蛘咂渌颍總€運行ISMS的組織，其內(nèi)部成員必須對風(fēng)險評估有一個共識，這個風(fēng)險評估的方法論、結(jié)果發(fā)現(xiàn)和推薦解決方式都必須得到董事會的首肯。
著手準(zhǔn)備ISMS項目和PDCA流程
ISMS項目很復(fù)雜，可能持續(xù)若干個月甚至若干年，涉及整個機構(gòu)組織以及從管理層到收發(fā)部門的每個成員。ISO27001認(rèn)證誕生時間短，成功的案例比較少。從務(wù)實的角度考慮，這表明在項目計劃過程中，必須盡早對這些僅有的指導(dǎo)性的書籍和案例進(jìn)行分析和研究。
ISO27001標(biāo)準(zhǔn)指導(dǎo)一個企業(yè)如何著手開展ISMS項目，并且關(guān)注整個項目進(jìn)程中的若干重要元素。
1950年W. Edwards Deming提出PDCA流程，即計劃（Plan）－執(zhí)行（Do）－檢查（Check）－提升（Act）過程，意在說明業(yè)務(wù)流程應(yīng)當(dāng)是不斷改進(jìn)的，該方法使得職能部門經(jīng)理可以識別出那些需要修正的環(huán)節(jié)并進(jìn)行修正。這個流程以及流程的改進(jìn)，都必須遵循這樣一個過程：先計劃，再執(zhí)行，而后對其運行結(jié)果進(jìn)行評估，緊接著按照計劃的具體要求對該評估進(jìn)行復(fù)查，而后尋找到任何與計劃不符的結(jié)果偏差（即潛在改進(jìn)的可能性），最后向管理層提出如何運行的最終報告。

The post 信息安全與ISO27001國際標(biāo)準(zhǔn) first appeared on 深圳市安信達(dá)咨詢有限公司.

淺談企業(yè)認(rèn)證ISO27001的誤區(qū)

深圳ISO認(rèn)證 — Mon, 25 Jan 2016 06:33:01 +0000

企業(yè)通過ISO27001認(rèn)證予以相應(yīng)的補貼是政府鼓勵企業(yè)通過企業(yè)獲得國際認(rèn)證，這是提升國內(nèi)服務(wù)外包企業(yè)整體形象的有力途徑，也是企業(yè)獲得更多的外包業(yè)務(wù)的有力條件之一。但是ISO27001信息安全管理體系(ISMS)認(rèn)證當(dāng)前在某些企業(yè)成了名副其實的面子工程。對于標(biāo)準(zhǔn)認(rèn)證這點，可能是很多從事國際國內(nèi)認(rèn)證標(biāo)準(zhǔn)的專業(yè)人士心頭的痛，ISO9001質(zhì)量體系認(rèn)證在國內(nèi)的情況就是一個例子。對國際標(biāo)準(zhǔn)認(rèn)證認(rèn)識的誤區(qū)無疑將影響認(rèn)證產(chǎn)業(yè)的健康發(fā)展，同時也讓企業(yè)對國際標(biāo)準(zhǔn)的作用產(chǎn)生的懷疑甚至輕視。造成這種局面，體制、文化等方面因素在此我就不多做分析，這本身比較復(fù)雜，也不是本文的出發(fā)點，我想還是從管理體系標(biāo)準(zhǔn)自身的特點來看，目前當(dāng)前國際上大部分的管理體系標(biāo)準(zhǔn)都源自于英國標(biāo)準(zhǔn)，而這些管理體系的核心思想是PDCA(Plan,Do,Check ,Act)的流程方法，PDCA模型本質(zhì)是改進(jìn)模型而不是狀態(tài)模型，認(rèn)證公司給企業(yè)頒發(fā)ISO27001認(rèn)證證書的最低標(biāo)準(zhǔn)是該企業(yè)是否已經(jīng)建立了PDCA的改進(jìn)體制以及相配套的制度和流程，而不是這家企業(yè)的信息安全防范水平已經(jīng)達(dá)到了某個等級。這不同于給學(xué)生授予優(yōu)秀學(xué)生稱號是以該學(xué)生德智體達(dá)到某個要求，而不是該學(xué)生相比自己的過去有進(jìn)步就行了。
　　PDCA循環(huán)又名戴明環(huán)，威廉.愛德華.戴明上個世紀(jì)五十年代提出的，主要為解決問題的過程提供一個簡便易行的方法。1950年，戴明到日本擔(dān)任產(chǎn)業(yè)界的講師及顧問，其間大力推廣企業(yè)在持續(xù)改善的過程中運用PDCA循環(huán)，這個方法重塑了日本產(chǎn)業(yè)制度，塑造了風(fēng)靡世界的日本企業(yè)管理模式。
　　對于認(rèn)證的這個誤區(qū)，我們把眼光投到我們的鄰國日本就明白我們真的錯了。PDCA方法在日本的成功，我們完全有理由相信，PDCA是企業(yè)服務(wù)質(zhì)量持續(xù)改善的良好方法。
　　3. 對“信息安全”管理體系認(rèn)識不足
　　信息安全管理體系(ISMS)遵循流程的方法，這與其他管理體系，比如在國內(nèi)廣泛實施的質(zhì)量管理體系是一致的，都是按照PDCA的大的流程來運轉(zhuǎn)和維護(hù)管理體系。而對于外包公司來說，由于企業(yè)沒有復(fù)雜的IT應(yīng)用系統(tǒng)和龐大的復(fù)雜網(wǎng)絡(luò)設(shè)施，另外一個也是從成本考慮到角度，一般情況下企業(yè)的IT人員的配備不足，技術(shù)力量有限。特別是對于軟件外包公司來說，為了軟件開發(fā)的需要，在建立信息安全管理體系(ISMS)之前很多軟件企業(yè)通過CMMI的認(rèn)證來提升企業(yè)軟件開發(fā)的能力，以獲得發(fā)包企業(yè)對其開發(fā)能力的認(rèn)可，因此，這些公司都由質(zhì)量管理部按照CMMI的要求監(jiān)控和審核軟件開發(fā)質(zhì)量，人力資源相對比較充足，因此，企業(yè)從整合管理體系節(jié)約成本的角度出發(fā)，信息安全管理體系(ISMS)也是由質(zhì)量管理部推動、管理與維護(hù)。這本來也無可厚非，每個企業(yè)都有自身的管理水平，人員技能等或這或那的問題，外包企業(yè)也是如此。殊不知，信息安全管理體系(ISMS)其管理的對象是企業(yè)的信息安全風(fēng)險，而信息安全風(fēng)險有其專業(yè)特性，應(yīng)該由企業(yè)內(nèi)部IT條線的專業(yè)人員負(fù)責(zé)識別、評價和采取對應(yīng)的控制措施。質(zhì)量管理部盡管在體系維護(hù)方面經(jīng)驗比較多，但是缺乏的就是對信息系統(tǒng)，網(wǎng)絡(luò)設(shè)備的技術(shù)特性的了解。（安信達(dá)咨詢znojukyf.cn）
　　正確對待這個問題的辦法應(yīng)該是在綜合考慮外包公司現(xiàn)有情況下，質(zhì)量管理部履行信息安全管理體系(ISMS)的管理工作，制定和頒布信息安全策略，而IT 部門執(zhí)行信息安全策略，IT部門識別和評價信息安全風(fēng)險，并提出對應(yīng)控制措施以及解決方案，質(zhì)量管理負(fù)責(zé)審核方案。
　　大力發(fā)展服務(wù)外包產(chǎn)業(yè)，加速我國產(chǎn)品結(jié)構(gòu)升級，完成從“世界工廠”到“世界服務(wù)”的華麗轉(zhuǎn)變，這是我國產(chǎn)業(yè)發(fā)展的大局，而對于國內(nèi)的服務(wù)外包公司來說，如何更好適應(yīng)這個大勢，使企業(yè)具有更強競爭力，必要途徑之一是在信息安全管理方面，服務(wù)外包企業(yè)要切實正確認(rèn)識信息安全，切實提升企業(yè)的信息安全管理水平。

The post 淺談企業(yè)認(rèn)證ISO27001的誤區(qū) first appeared on 深圳市安信達(dá)咨詢有限公司.