ISO27001中详细介绍了实施信息安全管理的方法和程序,用户可以参照这个完整的标准制定出自己的安全管理计划和实施步骤。ISO27001可以作为大型、中型及小型组织的确定在大多数情况下所需的控制范围的参考基准。修订后的ISO27001充分考虑了信息处理技术尤其是在网络和通信领域应用的近期发展,同时还强调了与业务相关的信息安全及信息安全的责任,扩展了新的控制。例如新版本包括关于电子商务、远程工作和外购等领域的控制。
组织引入信息安全管理标准的关键在于组织的重视程度和制度落实情况。组织在实施过程中一定要注意,ISO27001里描述的所有控制方式不可能适合组织中每一种情况和组织中的每个潜在用户。因此,需要根据功能要求和组织本身的实际情况进一步开发适合组织自身需要的控制目标与控制措施,就像依据ISO9000标准开发质量手册和程序文件一样。
信息安全管理体系可以定义为整个组织或组织的一部分,包括处理、存贮和传输数据所用到的相应的资产、系统、应用程序、服务、网络和技术等。信息安全管理体系是整个管理体系的一部分,建立在业务风险的方法上,以开发、实施、完成、评审和维护信息安全。在ISO27001中信息安全管理体系可能包括:
组织的整个信息系统;
信息系统的某些部分;
一个特定的信息系统;
ISMS选择上面哪一种范围模式取决于组织的实际需要,一个组织可能需要为其企业的不同部分、不同方面定义不同的ISMS。例如可以为公司与贸易伙伴的特定的贸易关系定义一个信息安全管理系统。ISO/IEC17799强调管理体系的有效性、经济性、全面性、普遍性和开放性,目的是为希望达到一定管理效果的组织提供一种高质量、高实用性的参照。各单位以此为参照建立自己的信息安全管理体系,可以在别人经验的基础上根据自己的实际情况选择自己引入ISO27001的模式,以达到对信息进行良好管理的目的。
组织在实施ISO27001时,可以根据组织的需求和实际情况,采用以下几种模式:
组织按照ISO27001标准的要求,自我实施建立组织的安全管理体系,以达到保证组织信息安全的目的。
组织按照ISO27001标准的要求,自我实施建立组织的安全管理体系,以达到保证组织信息安全的目的,并且通过ISO27001体系认证。
组织通过安全咨询顾问,来实施建立组织的安全管理体系,以达到保证组织信息安全的目的。
组织通过安全咨询顾问,来实施建立组织的安全管理体系,以达到保证组织信息安全的目的,并且通