此外����,開展ISO 27001的培訓(xùn)也是十分必要的,而且要從不同的層面開展針對性的培訓(xùn)����。首先,需要開展管理層的培訓(xùn),讓管理者對信息安全管理體系有一個(gè)初步的了解�����,讓領(lǐng)導(dǎo)們初步了解信息安全管理體系的理念和作用 ����,企業(yè)高層的大力支持,才能順利進(jìn)行�,因?yàn)樾畔踩w系架構(gòu)的實(shí)施和運(yùn)行,比如會跨越不同的部門��,在部門與部門的協(xié)調(diào)上�,就需要上層領(lǐng)導(dǎo)的協(xié)調(diào)了。此外�����,讓各部門主要信息安全專員參與標(biāo)準(zhǔn)的內(nèi)審員培訓(xùn)��,從而讓內(nèi)審核員認(rèn)識信息安全體系應(yīng)該做哪些工作�,哪些是重點(diǎn)工作,并且在培訓(xùn)中進(jìn)行討論�,形成統(tǒng)一的認(rèn)識。
通過實(shí)施ISO27001信息安全管理體系����,將為企業(yè)帶來多方面的益處:包括證明企業(yè)內(nèi)部控制具備獨(dú)立**��,并滿足公司信息管理和業(yè)務(wù)連續(xù)性要求�;獨(dú)立證明已遵守各項(xiàng)適用法律法規(guī)�����;通過滿足合同要求以提供競爭優(yōu)勢�,并向客戶展示其云計(jì)算安全已受到保護(hù)�;在使信息安全流程、程序和文件材料正式化的同時(shí)�����,能夠獨(dú)立地證明您的云服務(wù)相關(guān)風(fēng)險(xiǎn)已得到妥善識別�����、評估和管理���;證明高級管理層對其信息安全的承諾��;定期的評估流程有助于不斷監(jiān)控企業(yè)的績效并較終得到改善����。
2013新版變化
現(xiàn)版的信息安全管理系統(tǒng)ISO 27001:2005標(biāo)準(zhǔn)已經(jīng)使用了8年,日前ISO組織(國際標(biāo)準(zhǔn)化組織)終于將新版ISO 27001:2013 DIS版(國際標(biāo)準(zhǔn)草案Draft International Standard)草稿向公眾開放并征求意見��,預(yù)計(jì)在今年6-7月會發(fā)布DIS較終版�。目前ISO組織公布的正式版本的頒布時(shí)間為2013年10月19日,在新版公布后的18至24個(gè)月內(nèi)是轉(zhuǎn)換緩沖期����,即原有已取得證書的企業(yè)較遲需要在2015年10月19日前轉(zhuǎn)換到新版標(biāo)準(zhǔn)。
安言咨詢技術(shù)總監(jiān)張威表示����,此次改版與舊版相比主要有三大差異:一、管理體系更容易整合�;二、融入企業(yè)面臨的新挑戰(zhàn)���;三�����、更多指引延伸參考���。說明如下:
?�。?) 易整合:以前各管理系統(tǒng)對管理制度面的要求有不太一致的描述方式�����,且章節(jié)不一�����。例如管理制度的PDCA(Plan�,Do�,Check��,Act)�、政策與高級支持等管理制度面要求不同。在新版當(dāng)中采取Annex SL做結(jié)構(gòu)性要求�,讓不同管理系統(tǒng)易于接軌、整合���。Annex SL的高級結(jié)構(gòu)是ISO組織未來所有管理制度制定時(shí)的重要依據(jù)��,目前已經(jīng)有ISO 22301(前BS 25999營運(yùn)持續(xù)管理系統(tǒng))和這次的ISO 27001新版都已采此結(jié)構(gòu)進(jìn)行調(diào)整�����。預(yù)計(jì)已頒布的標(biāo)準(zhǔn)如ISO9000/ ISO20000未來的改版也將以相同的思路進(jìn)行調(diào)整�����。
(2) 新要求:ISO 27001:2005原本有11個(gè)領(lǐng)域(domain)�、133項(xiàng)控制措施,新版DIS目前調(diào)整為14個(gè)領(lǐng)域(A.5-A.18)�����、113個(gè)控制措施(未來仍可能有改動)��。新增的領(lǐng)域是將原分散在各領(lǐng)域中的部分控制目標(biāo)級別提升��,組成新領(lǐng)域�����,如加密與供應(yīng)鏈管理因其重要性而被獨(dú)立出來成為新領(lǐng)域���;或是將原有領(lǐng)域分拆����,如將通訊與作業(yè)管理分開成兩個(gè)獨(dú)立的領(lǐng)域�,以反映目前信息安全的發(fā)展趨勢����。而控制措施的減少則是通過合并重復(fù)的項(xiàng)目來進(jìn)行�����,像變更管理在不同的領(lǐng)域中有重復(fù)就予以合并�����。也有新增的控制項(xiàng)目比如對智能型裝置的管理���、強(qiáng)化ICT供應(yīng)鏈的委外管理�����、以及系統(tǒng)開發(fā)項(xiàng)目管理的信息安全要求等。
?��。?) 更多參考:此次ISO也新增許多指引供企業(yè)參考���,組織可以通過不同的面以及風(fēng)險(xiǎn)進(jìn)行深度的強(qiáng)化,通過ISO 27001驗(yàn)證只是基本要求�����。目前ISO 27000系列指引編號已超過44號(001-044),例如金融服務(wù)����、數(shù)字鑒識、供應(yīng)鏈管理(4本)�、軟件開發(fā)測試等,主管機(jī)關(guān)可參考這些指引做升級的要求�。
對于目前正在準(zhǔn)備ISO 27001的企業(yè),建議無須等待新版��,按照原訂進(jìn)度先取得27001:2005驗(yàn)證�,在緩沖期結(jié)束前轉(zhuǎn)到新版即可,新版會向下兼容接軌�。
IS027001認(rèn)證將來的發(fā)展和變化
按照BSI的規(guī)劃(包括ISO的考慮),未來兩年里��,以ISO/IEC 27001為核心的信息安全管理標(biāo)準(zhǔn)將逐漸發(fā)展成為一套完整的標(biāo)準(zhǔn)族���,具體包括:
ISO/IEC 27000���,基礎(chǔ)和術(shù)語。
ISO]IEC 27001�����,信息安全管理體系要求,已于2005年10月15日正式發(fā)布(ISO/IEC27001:2005)���。
ISO/IEC 27002����,信息安全管理體系較佳實(shí)踐�����,將會在2007年4月直接由ISO/IEC
17799:2005(已于2005年6月15日正式發(fā)行)轉(zhuǎn)換而來�����。
ISO/IEC 27003����,ISMS實(shí)施指南����,正在開發(fā)。
ISO/IEC 27004����,信息安全管理測量和改進(jìn)����,正在開發(fā)��。
ISO/IEC 27005�����,信息安全風(fēng)險(xiǎn)管理指南��,以2005年底剛剛推出的BS7799-3(基于ISO/IEC 13335-2)為藍(lán)本��;
這些標(biāo)準(zhǔn)或指南����,互相支持和參照,共同為組織實(shí)施信息安全較佳實(shí)踐和建立信息安全管理體系而發(fā)揮作用�。
-/gbachfh/-
http://www.klikcasa.com
