電力信息安全管理體系應用及發(fā)展研究
圖5 ISO/IEC 27001架構調整圖
本文引用地址:http://dyxdggzs.com/article/200734.htm信息安全管理體系的這種變化,從管理體系層面來(lái)看,有利于與其他管理體系的兼容實(shí)施,并保障不同管理體系之間的協(xié)調一致。但就信息安全管理體系本身而言,其原有的標準架構直接規范了體系的建設流程,按PDCA四個(gè)階段明確了各流程的活動(dòng),比較有利于體系建設方應用該標準。而新架構劃分了更多的環(huán)節與控制,這種架構將影響到原有用戶(hù)對體系的認識,從邏輯性和條理性方面,都將需要一定時(shí)間的學(xué)習,因此會(huì )一定程度上增大體系建設的難度。
3.3 信息安全控制域的變化
新版本的ISO/IEC 27001不僅從架構上做了調整,從內容,尤其是信息安全控制方面,也做了相應調整。
原有標準將信息安全控制域劃分為11個(gè)方面:安全方針、信息安全組織、資產(chǎn)管理、人力資源安全、物理和環(huán)境安全、通信和操作管理、訪(fǎng)問(wèn)控制、信息系統獲取開(kāi)發(fā)和維護、信息安全事件管理、信息安全業(yè)務(wù)連續性管理、符合性。新標準將增加供應商關(guān)系管理、網(wǎng)絡(luò )應用服務(wù)管理兩個(gè)方面,控制域中的控制類(lèi)也做了相應調整,例如將原來(lái)信息安全組織域中的對外部各方的管理,調整到新的供應商關(guān)系管理中。
體系在這方面的變化,也將影響到原有體系建設用戶(hù),從整個(gè)文件體系的框架設計,到具體安全策略,可能都需要做相應的調整。
4 結束語(yǔ)
只要存在信息化應用,就會(huì )有信息安全問(wèn)題。隨著(zhù)組織信息化水平的不斷提高,其對信息化的依賴(lài)性也越來(lái)越強,因此信息安全也就成為組織信息化工作中非常重要的一環(huán)。信息安全管理體系作為實(shí)現組織信息安全的一種優(yōu)秀方法,已經(jīng)得到了業(yè)界的認可。
本文從信息安全管理體系的特點(diǎn)出發(fā),基于風(fēng)險管理和持續改進(jìn)的思想,從實(shí)踐出發(fā),提出了行之有效的實(shí)施方法,此外,本文還跟蹤研究了信息安全管理體系的最新發(fā)展,介紹了信息安全管理體系在架構、內容等方面的重大變化,指出了這種變化對未來(lái)實(shí)施信息安全管理體系的影響。
評論