|
[摘要] 随着社会的发展,企业对信息资源的依赖程度越来越大,由此带来的信息安全问题日益突出。本文分析了ISO/IEC27001的信息安全管理体系和实施信息安全管理的关键因素。认为企业的信息安全应遵从PDCA的过程方法论持续改进以确保信息安全的长治久安。项目管理者联盟
[关键词] 信息时代、企业信息、信息安全管理体系、持续改进项目管理者联盟
1. 前言service.mypm.net
国务院总理温家宝2012年5月9日主持召开国务院常务会议,研究部署推进信息化发展、保障信息安全工作。会议指出,当前,世界各国信息化快速发展,信息技术的研发和应用正在催生新的经济增长点,以互联网为代表的信息技术在全球范围内带来了日益广泛、深刻的影响。加快推进信息化建设,建立健全信息安全保障体系,对于调整经济结构,转变发展方式,保障和改善民生,维护国家安全,具有重大意义。今后一段时期,要以促进资源优化配置为着力点,构建现代信息技术产业体系,全面提高经济社会信息化发展水平;加强统筹协调和顶层设计,健全信息安全保障体系,切实增强信息安全保障能力,维护国家信息安全,促进经济平稳较快发展和社会和谐稳定。项目管理者联盟
进入21世纪,信息化对经济社会发展的影响更加深刻。随着社会的发展,企业对信息资项目管理者联盟
源的依赖程度越来越大,由此带来的信息安全问题日益突出。企业在研发、设计和生产产品或提供服务时多会涉及到客户的重要信息(如业务数据等),如果自身没有信息安全保障是难以得到用户的信任的。另外,如果企业自身的信息安全管理有重大疏漏,也无法保证其产品及服务的安全可靠。当前,企业在黑客和病毒日益猖獗的网络环境下不仅要保护自身信息的安全,还要保护企业客户信息的安全,因此有必要从体系管理的高度构建企业信息安全。club.mypm.net
作者公司网络架构物理上分为内部网和外部网。行政楼、科研楼、南区3栋大楼信息点共2100个内部网信息点(包括网络数据点和电话语音点),其中数据点 1400 个,语音点700个。外部网是通过电信光纤专线共享上网;网吧区在行政楼二、三楼,科研楼三、四、五楼。网络线路已使用10年,网线有使用寿命,埋地的线路受潮,有时网络中断等问题。项目管理者联盟
1.1公司内部网的信息安全问题:项目管理者联盟
在实际工作中,计算机和网络的故障现象很多,主要包括硬件故障、软件故障、网络故障三大类。公司多台服务器过保修期仍在全天使用。机房大多数思科交换机过保修期仍在全天使用。很多台式电脑、笔记本过了保修期,其中500多台用了5年以上,容易出现硬件故障。项目管理者联盟
公司共用内部网络资源,使用部门多,VLAN多,网络环境复杂,IP地址有时冲突,找不到哪台电脑;还有电脑名称不规范问题。项目管理者联盟
日常办公在网络环境中使用电子文档,U盘,EMAIL,有中毒现象,内部网安装了NOD32企业版防病毒软件、微点主动防御软件网络版;还有电子文档可能泄密的安全性问题,安装了天盾文档安全系统。pmp.mypm.net
软件平台的金蝶K3 ERP系统和金蝶OA系统的数据库安全和日常使用安全等。项目经理博客
1.2公司外部网的信息安全问题:项目管理者联盟
网吧电脑属于公共资源,在行政楼、科研楼,通过光纤和网线联接网络设备并配置开通使用,公司的用户,跨楼宇、多楼层、多部门使用,因网络环境复杂,难于管控。现在通过中国电信企智通系统管理:有上网记录统计、流量统计分析、上网监控功能等,目前设置限制使用BT、讯雷、游戏、视频功能,日常工作中使用IE另存为方法下载附件和资料。项目管理者联盟
网吧电脑有时网速很慢,文件下载不了,严重时会断网,但网络环境复杂,不知原因在哪,没有好的解决办法。有黑户上网,甚至有人私自用无线路由上网,不知上网源在哪,难于管控。网吧电脑现在使用360杀毒软件,有中毒现象。转自项目管理者联盟
财务网上业务电脑(网上银行、网上报税、网上发工资和交员工社保等)。项目管理者联盟
2.ISO/IEC27001的信息安全管理体系项目经理圈子
信息安全管理体系(ISMS:Information Security Management Systems)是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、审查表等要素的集合。项目管理者联盟
ISO/IEC27001是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。training.mypm.net
作为信息安全领域的国际标准,ISO/IEC27001提供的33项控制目标和133项控制措施,这些控制目标和控制措施分布在11大信息安全管理领域,包括:pmp.mypm.net
2.1 信息安全方针:根据业务需求和相关法律法规要求,为信息安全提供管理指导和支持。项目管理者联盟
2.2 信息安全组织:在组织内建立信息安全组织,保持被外部组织访问、处理、通信或管理的组织信息和信息处理设施的安全。项目管理者联盟
2.3 资产管理:对与信息技术有关的资产进行分类,加强与信息技术有关的资产分类管理,并对这些资产就价值和重要性进行分类标识,实施不同安全措施对这些资产进行保护。项目管理者联盟
2.4 人力资源安全:确保员工、合同方和第三方用户明白他们的职责,适合于他们被赋予的角色,减少因盗窃、欺诈或设施误用造成的风险;确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、他们的责任和义务,并在他们的日常工作中支持组织的信息安全方针、减少人为错误的风险;确保员工、合同方和第三方用户离开组织或雇用变更时以一种有序的方式进行。service.mypm.net
2.5 物理及环境安全:防止对组织办公场所和信息的非授权物理访问、破坏和干扰;防止资产的丢失、损坏或被盗,以及对组织活动的中断。项目管理者联盟
本文为项目管理者联盟联盟会员原创文章,授权发布,非经同意不得转载!
|
