ISO27001认证安全问题以及解决思路都有哪些?
发布日期:2020-8-5
ISO27001认证咨询信息安全管理导致这种问题的原因有很多,比如计划的建立、执行、检测等等,要能够确切有效的改变企业未能解决实际存在的问题,更加全面、系统、规范化的系统实行,才能够有效的解决问题,接下来就由小编来详细介绍一下。
一、ISO27001认证咨询信息安全管理问题原因
前事不忘、后事之师。在已经开展ISO27001信息安全体系建设的公司中发生的问题,已经直接影响了安全管控效果,造成ISO27001信息安全管理体系仅仅停留在文件上,未能有效地改变企业内部的管理模式、行为方式、思想意识,未能解决实际存在的问题。
导致这些问题的原因很多,从ISO27001体系的计划、建立和导入、实施和运作、监控和评审、维护和改进等体系管理阶段的角度看,主要包括:
未能采用科学的方法进行ISO27001体系构建对自身风险识别、分析不足,没有规范的风险评估流程,不能覆盖安全管理的所有方面,不能采取针对性的管控措施,明确自己存在的不足和努力方向。
脱离实际,套用ISO27001标准对标准进行生搬硬套,没有针对企业的现状进行详细的“望闻问切”,基于个体现状,参考案例,结合经验进行定制开发,造成安全管理体系与公司现有的管理方法、制度和流程冲突、脱节,不能适应公司的人员和组织现状、文化氛围。
人员思想不统一,积极性不高安全管理需要领导支持、全员参与,不是系统管理、维护人员的几个人的事情,人员思想不统一就不能集中力量,达成目标。尤其是在安全管理体系建设刚起步时,面临着大量人员兼职的情况,不会主动、积极的参与安全管理工作,尤其是在缺乏有效激励措施的情况下。
缺乏强制性的技术配置措施有些安全管控措施的落实,单凭制度约束是很难得,尤其是在制度与其人员自身利益冲突,且其违反制度的成本极低,或其不当行为不易被发现的情况下。缺乏有效的、强制性的防护、监控、审计措施,就不能保证体系的切实落地和执行。
对问题的解决,也需要从这三个方面进行入手和解决。
ISO27001信息安全管理体系“三分靠技术 七分靠管理”
信息系统的安全管理的主要目标就是管理好信息资源安全,避免信息资源受到泄漏和破坏;可以说信息安全管理是信息系统安全的重要组成部分,管理是保障信息安全的重要环节,是不可或缺的。实际上, 大多数安全事件和安全隐患的发生,与其说是技术上的原因,不如说是由于管理不善而造成的。
因此, 信息系统的安全不仅仅是技术上的问题,准确的来说是“三分靠技术, 七分靠管理”, 可见信息安全管理的重要性。
对于信息安全的管理,国际标准化组织已经发布了ISO27001信息安全管理体系标准,ISO27001标准为众多信息安全管理工作提供了标准依据,只要组织有效的去实施ISO27001信息安全管理体系,详细信息安全的管理工作会有很大改善。
信息系统规划、设计、建设、运行、维护等各个阶段都需要信息安全管理, 因此信息安全管理的应用非常广泛。
随着Internet飞快发展,信息技术已经触及到我们社会中的各个领域,全球性信息化浪潮日益深刻,人们日常生活和信息网络日益密切。由于网络具有实时、方便、快捷及低成本的特性, 每一个网络用户均可方便地与另一端的网络用户进行通讯,企业用户可以利用网络进行信息发布、广告、营销、客户支持等, 同时也可以直接与商业伙伴直接进行合同签订和商品交易, 用户通过网络可以获得各种信息资源和服务, 如购物、求职、教育、投资等。
然而, Internet 所具有的开放性、国际性和自由性在为全社会、全人类提供极大益处的同时, 对信息的安全提出严峻的挑战。据不完全统计, 近年来信息领域的犯罪呈现逐年上升的趋势, 全球约20秒种就有一次计算机入侵事件发生, Internet上的网络防火墙约有1/4被突破, 约70%以上的网络信息主管人员报告因机密信息泄露而受到了损失。在过去的一年中, 61%遭到内部攻击, 58%遭到外部攻击。近十多年来网络入侵事件的趋势图, 由此可以看出网络入侵事件呈逐年递增的势态。
从信息安全所涉及的角度来看,世界上任何一个信息系统都是有安全隐患的,每一个信息系统都有各自的系统脆弱性和漏洞,无任何风险的信息系统只是一种我们中理想状态,并且是个可期不可达的目标。因此在实际应用中,信息系统成功的标志是风险的最小化和可控性, 并非是零风险。
随着网络技术的普及, 建立在Internet之上的通信网络所面临的破坏和攻击可能是多方面的, 可能来自对物理传输线路的攻击, 也可以对网络通信协议和实现实施攻击, 还可以对软件或硬件实施的攻击。因此,有必要做好ISO27001信息安全管理体系。
二、ISO27001信息安全管理决思路
ISO27001信息安全管理本质就是人与事的关系,是人根据制度和流程,采用适宜的方法、工具和手段去降低风险。风险是安全管理的对象,人员、流程、手段是安全管理基本要素,其中人员是根本,流程是核心,手段是支撑。
培养和建立一支高效干练的人员队伍参与ISO27001信息安全管理的人员应组成一个强有力的管理组织,分工明确、沟通顺畅、协调有力,运作高效。通常安全管理组织应是扁平化的,以便发现问题,及时响应,能够根据外部威胁的形势,快速进行适应性变化。参与安全管理的人员的知识、技能应适用其岗位要求,并不断的学习成长,适用信息安全快速变化的时代要求。
1、建立科学、合理、易于落地的管理体系ISO27001信息安全管理体系构建应采用科学的方法,即按照ISO27001的要求,采用过程方法,通过过程的控制来为结果提供一种可持续的保证。信息安全管理体系建设不是编制几个制度,它的目的是推动公司行动起来,发生变化,不断提升其安全管控能力。要使安全管理体系有效发挥作用、起到实效,还必须:
2、全面化:要针对评估中发现的问题,与最佳实践相比较所存在的差距,应覆盖人员和组织、制度和流程、技术手段等所有要素,覆盖信息系统的整个生命周期,覆盖管理的整个过程。
3、系统化:管理体系应符合PDCA(规划、实施、检查、改进)思想,必须要有测量、反馈机制,能够进行内部监督、审计,形成正向的内部激励机制,不断进行改进和完善。
4、流程化:制度是有益的、必须的,但还必须贯穿部门间藩篱的、目标可控、易于落地的流程。流程使人员不需要关注过多的制度,只需按照流程工作即可,减轻了人员负担。
5、规范化:对于具体工作,必须给出明确的工作指导和表单,规范人员的操作行为。
6、融合化:安全管理不是一个独立的体系,应与现运维管理、内部控制等现有制度和流程相融合,借鉴Cobit、ITIL、CMMI、PMP/PRINCE2、隐私数据保护等管理思想或方法的长处。
当然,每个公司都具有一定的个体特性,如文化、人员、组织和信息系统环境等等。在构建时,应采用中医的方法,严格诊断,对症下药,建立起符合自己特点管理体系。
有效利用各种技术手段这主要体现在两个方面,一是采用技术手段,推动安全管理的电子化、自动化,提升管理效率;二是采用技术手段,保障管理流程、管理目标的有效强制落实和实现。
以上就是小编对ISO27001认证安全问题以及解决思路的介绍,希望能够帮助到您。