首页 理论教育 ISO27001认证:打造安全高效的银行数据中心

ISO27001认证:打造安全高效的银行数据中心

时间:2023-07-25 理论教育 版权反馈
【摘要】:ISO27001:2005有11个控制域、133项控制措施。新版ISO27001:2013修订为14个控制域、35个控制目标、114个控制措施。2)确定信息安全管理体系认证范围。7)获得ISO27001的知识和文档。3)实施运行信息安全管理体系。

ISO27001认证:打造安全高效的银行数据中心

1.标准简介

ISO27001:2005由国际标准化组织发布于2005年10月。2013年10月19日,ISO27001:2013正式公布,在新版公布后的18~24个月内是转换缓冲期,即原有已取得证书的企业最迟需要在2015年10月19日前转换到新版标准。

ISO27001的前身为英国的BS7799标准,该标准是由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分:BS7799⁃1,信息安全管理实施规则;BS7799⁃2,信息安全管理体系规范。第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(Information Security Management System,ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。

ISO27001:2005有11个控制域、133项控制措施。11个控制域包括安全策略,信息安全的组织,资产管理,人力资源的安全,物理环境安全,通信和操作管理,访问控制,系统采集、开发和维护,信息安全事故管理,业务连续性管理和符合性。

ISO27001:2005已经成为世界上应用最广泛与典型的信息安全管理标准,相当数量的组织采纳并进行了信息安全管理体系的认证。越来越多的行业和组织认识到信息安全的重要性,并把它作为基础管理工作之一开展起来。

在我国,自从2008年将ISO27001:2005转化为国家标准GB/T22080:2008以来,信息安全管理体系认证在国内进一步获得了全面推广。

2.标准内容

ISO27001标准指出“像其他重要业务资产一样,信息也是一种资产”,信息对一个组织具有价值,因此需要加以合适地保护。信息安全防止信息受到的各种威胁,以确保业务连续性,使业务受到损害的风险减至最小,使投资回报和业务机会最大。

信息安全是通过一组合适控制措施来实现的,控制措施可以是策略、惯例、规程、组织架构以及软件功能。组织需要通过建立这些控制措施,来确保满足组织的特定安全目标。

ISO27001:2005有11个控制域、39个控制目标、133项控制措施。新版ISO27001:2013修订为14个控制域、35个控制目标、114个控制措施。

3.标准价值

信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前获得认证的企业情况看,较多的是涉及电信保险银行数据处理中心、IC制造和软件外包等行业。

ISO27001标准的价值在于:

1)通过定义、评估和控制风险,确保经营的持续性和能力。

2)减少由于合同违规行为以及直接触犯法律法规要求所造成的责任。

3)通过遵守国际标准提高企业竞争能力,提升企业形象

4)明确定义所有组织的内部和外部的信息接口目标:谨防数据的误用和丢失。

5)建立安全工具使用方针。

6)谨防技术诀窍的丢失。

7)在组织内部增强安全意识

8)可作为公共会计审计的证据。

ISO27001认证逐渐成为各种组织(包括政府部门)的热门需求,这其中有两个关键性的驱动因素:一是日益严峻的信息安全威胁,二是不断增长的信息保护相关法规的需求。

过去10年,围绕信息和数据安全问题建立起来的法律法规体系从无到有、不断壮大,其中包括专门针对个人数据保护问题的,也有针对企业财政、运营和风险管理体系建立的法规保障问题的。一套正式规范的信息安全管理体系应当可以提供最佳实践部署指导。目前,建立这样的管理体系逐渐成为诸多合规项目的必要条件。

近年来,银行监管部门对IT风险监管的要求越来越高。在银行的企业风险管理中,银行3大风险分别为信用风险、市场风险和操作风险,当前IT风险已经成为操作风险的重要组成部分,监管部门针对银行IT风险近年来出台了多个监管规范。

2009年3月银监会发布新版《商业银行信息科技风险管理指引》,系统地对银行IT风险的控制提出了基本要求,涉及信息科技管理的各个业务领域,重点提出了IT治理机制、IT风险管理的制度与流程、IT运维、应用开发、IT审计、客户数据保护方面的管控要求,可以有效地指导商业银行系统地对IT风险进行管理。

银监会还陆续出台了一系列相关指引、法规要求:如《商业银行内部控制指引》《商业银行合规风险管理指引》《业务连续性监管指引》《外包监管指引》等,以指导商业银行全方位推进IT风险管理工作。

同时,人民银行也发布了《银行信息系统信息安全等级保护实施指引》《银行信息系统信息安全等级保护测评指南》等,对商业银行的信息安全提出了明确要求。

此外,根据监管部门的规划,银行IT风险年度评级要纳入银行整体评级之中,包括信息科技风险在内的银行操作风险将变得和信用风险、市场风险一样重要,信息科技风险管理正在越发得到银行高级管理层的真正重视。

因此,在银行业信息科技风险体系建设时,要考虑到设计与建立适宜的科技风险管理体系与有效的IT内控制与信息安全控制机制,建立与巴塞尔新资本协议所要求的操作风险的接口,同时探索建立与信息科技风险相关的操作风险评估的实现方法。

4.认证方法

取得ISO27001认证主要有以下几个步骤。(www.xing528.com)

(1)准备

1)明确认证的意义。

2)确定信息安全管理体系认证范围。

3)明确认证活动的参与方面,确定各方所期望的收益。

4)全面地理解认证的内容,明确认证活动对个人和对组织的影响。

5)获取信息:与相似规模、职能的组织交流经验,向咨询顾问、培训提供机构、相关论坛和用户组织咨询。

6)获得高层管理者的支持。

7)获得ISO27001的知识和文档。

8)选定一家认证机构,确认审核的范围。

(2)初步评估与计划制订

1)进行初步的评估、掌握现状并进行差距分析;评估明确需改进的方面;管理在认证过程中的风险。

2)制订整体的计划,获得相关方面的支持与承诺。

(3)缩小差距

1)根据ISO27000标准进行详细的评估。

2)制订具体的信息安全控制措施、文件化信息安全管理体系文档。

3)实施运行信息安全管理体系。

4)改进信息安全管理的政策、流程、步骤。

5)定期检查和回顾。

(4)认证审核准备

1)如有必要,联系认证机构进行预审核,作为正式审核的“预演或排练”。

2)与认证机构充分交流以建立对审核范围、审核内容的共同理解。

3)准备审核所需要的“证据”:文档、记录等。

(5)认证审核 典型的认证审核包括:

1)协定参考标准和审核范围的条款。

2)第一阶段审核:主要进行文件审核,审核体系文档是否对标准要求内容进行了体现,并确认第二阶段审核准备的充分性。

3)第二阶段审核:现场对体系的符合性和有效性进行评价,即审核是否对体系文档要求进行了有效的执行,并做出现场推荐结论。

4)认证机构审核推荐结论,如果达到ISO27001标准要求,将后续颁发证书。

(6)维护 ISO27001标准认证证书的有效期为3年;获得认证后每年都须由认证机构进行“年度监督审核”;证书3年到期后,需要进行一次全面的再认证审核。

当组织的信息安全管理体系发生变化,或出现影响信息安全管理体系符合性的重大变化时,需要及时通知认证机构,认证机构将视情况进行监督审核、换证审核或者再认证审核以保持证书的有效性。

此外组织需要根据ISO27001的要求,每年进行至少一次内部审核和管理评审。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈