ISO27001信息安全管理体系实施效果分析及经验总结
通过实施信息安全管理体系ISMS,组织可获得以下方面的成功和收益:
1. 通过建立信息安全管理体系ISMS,由于构建了大量的流程文档,为组织在开展各项与安全相关的活动中提供了明确的目标和操作指引;
2. 通过建立信息安全管理体系ISMS,进一步明确分工,使安全风险和责任意识从传统的IT 部门扩展到组织每个员工,提高了安全管理的整体效率;
3. 通过建立信息安全管理体系ISMS,组织的IT部门能够有效控制成本,提高信息安全水平和用户的满意度;
4. 通过构建静态的组织保障体系和实施动态的对整个体系进行调整、改善的PDCA过程,使组织安全管理从“静态、被动、散乱”的管理向“动态、主动、系统”的管理转变;
5. 通过把ISO27001的要求引入业务流程,使现有的业务运作更加符合安全规范,减少了流程和操作过程带来的安全风险;另外,通过完善信息资产管理,增强物理环境安全、网络安全、操作安全、定期ISMS进行审查,可以极大地提高组织对内部威胁、外部威胁的风险防范能力;
6. 实施信息安全管理体系ISMS为今后通过ISO27001认证做好了铺垫,组织通过国际安全风险管理认证,有助于提高客户的信任度,从而巩固在行业领域的专业形象和市场号召力。
实施ISO27001的经验总结
安全策略、目标的设置应符合业务目标;完善而平衡的测量体系将有助于信息安全管理体系ISMS的持续改进;由于ISMS的实施可能会涉及到组织结构和人员职责的变动,实施过程中要能够获得高管的支持与承诺、尽量保持原有组织文化、立足现在的组织分工与人员结构进行部署,并深化教育,避免由于强制推行信息安全管理体系ISMS引起实施阻力;风险是永远存在的,重点是组织是否有经过详尽的风险分析与评估,在明确风险后找到并采取对组织自身合适的技术手段、管理手段以控制风险让客户方能承受。组织面对的风险环境会变化;再者,信息安全管理体系ISMS的建立和完善本身是一整套管理制度的实施、多个流程的运作,并结合技术手段进行配合的过程。因此信息安全的控制目标、手段需持续改进。ISMS的建立是确保信息系统安全的起点,因此,信息安全管理体系ISMS的建立和实施是一个循序渐进的过程,不可能一蹴而就。
