你好,欢迎访问新世纪检验认证官网!因为专业,所以信赖!
English 400-016-9000

iso27001认证——企业迎来春天,信息化建设再上新台阶

发布时间:2020-01-03| 作者:编辑| 文章来源:认证家园
  信息时代“计算机和网络”已经成为组织重要的生产工具。“信息”成为主要的生产资料和产品,组织的业务越来越依赖计算机、网络和信息,它们共同成为组织赖以生存的重要信息资产。可是,计算机、网络和信息等信息资产在服务于组织业务的同时,也受到越来越多的安全威胁。

  病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失以及利用计算机网络实施的各种犯罪行为,人们已不再陌生,并且这样的事件好像经常在我们身边发生。

  随着科技的进步,信息化的发展,信息安全的作用日益重要。企业面临着信息技术发展和信息安全的双重巨大压力,迫切需要加强信息系统的安全管理,采用业界通用标准,建设符合自身发展需要的信息安全管理体系。

    长久以来,很多人自觉不自觉地都会陷入技术决定一切的误区当中,尤其是那些从事信息系统集成业务的人员和企业。最早的时候,人们把信息安全的希望寄托在加密技术上面,认为一经加密,什么安全问题都可以解决。

  随着互连网络的发展,一段时期我们又常听 到"防火墙决定一切"的论调。及至更多安全问题的涌现,入侵检测、PKI、VPN  等新的技术应用被接二连三地提了出来,但无论怎么变化,还是离不开技术统领信息安全的路子。可这样的思路能够真正解决安全问题吗?也许可以解决一部分,但却解决不了根本。

  实际上,对安全技术和产品的选择运用,这只是信息安全实践活动中的一部分,只是实现安全需求的手段而已。信息安全更广泛的内容,还包括制定完备的安全策略,通过风险评估来确定需求,根据需求选择安全技术和产品,并按照既定的安全策略和流程规范来实施、维护和审查安全控制措施。归根到底,信息安全并不是技术过程,而是管理过程。

    信息系统集成从业企业之所以有这样的认识误区,原因是多方面的,从安全产品提供商的角度来看,既然侧重在于产品销售,自然从始至终向客户灌输的都是以技术和产品为核心的理念。而从客户角度来看,只有产品是有形的,是看得见摸得着的,对决策投资来说,这是至关重要的一 点,而信息安全的其他方面,比如无形的管理过程,自然是遭致忽略。

    正是因为有这样的错误认识,我们就经常看到:许多组织使用了防火墙、IDS、安全扫描等设备,但却没有制定一套以安全策略为核心的管理措施,致使安全技术和产品的运用非常混乱,不能做到长期有效和更新。即使组织制定有安全策略,却没有通过有效的实施和监督机制去执行,使得策略空有其文,成了摆设而未见效果。

    实际上对待技术和管理的关系应该有充分理性的认识:技术是实现安全目标的手段,管理是选择、实施、使用、维护、审查包括技术措施在内的安全手段的整个过程,是实现信息安全目标的必由之路。

  因此,对于从事信息系统集成的企业来说,有了安全的信息网络集成产品,还需要提升企业信息安全管理体系的建立,这也是构建企业软实力的重要标志。

  如果iso27001认证顺利通过,多年来高度重视企业和用户信息安全,持续建设投入的必然成果。经过此次信息安全管理体系认证的系统全面梳理,强化了全员的信息安全意识,规范了组织信息安全行为。公司的信息安全管理水平达到一个新的高度,将为公司及客户提供更坚实的信息安全保障。

  当然,在信息安全风险评估领域需要研究和解决的问题还很多,主要包括的问题如下:

(1)    ISO27001 仅仅提供了一些原则性的建议,如何将这些原则性建议与企业自身的工作实际情况相结合,在企业中实施符合自身状况的信息安全管理体系,才是真正具有挑战性的工作。

(2) 建立信息安全管理体系后。接下来,还需要按照生产流程的顺序,分批分期实施信息安全管理体系,逐步在全公司范围实现ISO27001认证。

(3) 信息安全风险评估模型设计和实施过程中,建立完备和针对性能够强的资产、威胁和脆弱性的知识库有利于提高风险评估的准确性和全面性,同时如何用程序来实现风险评估的自动化,尽量减少人工的重复性工作也是非常重要。

新世纪检验认证有限责任公司
电话:400-016-9000
邮箱:post@bcc.com.cn

联系地址:北京市东城区广渠门内大街45号D座5层

联系我们

想咨询更多认证服务,请您填写下面表格,我们将在工作时间内回电!
填写并发送此表单即表示您已阅读我们的免责声明Cookie政策和隐私声明
0.226582s