立即注册
 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

CopyRight 2012-2014 DS文库版权所有
基于ISO27001的信息安全管理体系的研究和建立
(0 次评价)90 人阅读0 次下载
1 基于 ISO27001 的信息 安全管理体系的研究和建立 蒙自市 云南电网有限责任公司红河供电局,杨永建 摘 要:随着信息化的发展,电网企业各种信息系统不断增多,网络规模迅速扩大,设备数量激增,建设重点逐步 从网络平台建设,转向以深化应用、提升效益为特征的运行维护阶段,系统运维与安全管理正逐渐走向融合。信息系统 的安全运行直接关系企业效益,构建一个强健的运维安全管理体系对企业信息化的发展至关重要。本文结合企业管理现 状,参考 ISO27001 信息安全管理体系标准,完善企业信息安全管理制度,减少管理漏洞,建设满足企业现有业务需求和 未来发展需要的信息安全体系,促进企业信息安全管理能力提升。 关键词:信息安全;ISMS;ISO27001;PDCA;风险管理 一、引言 近年来, “信息化”一词频繁见诸政府工作报告或各种新闻媒介,成为推动经济发展和社会进步新的助推 器。社会的发展对各种信息资源的依赖程度日益加深,上到国家管理,下到企业建设,个人日常生活,信息 资源已变得不可或缺。随着移动互联和云计算的发展,信息化已经发展到一个历史性的高点,它正以自己的 方式悄然改变着人们的生活。但是,信息就是一柄双刃剑,在它日益成为国家、企业、个人宝贵的无形资产, 为人们带来便利的同时,也会受到各种来自于组织内部或外部的威胁。全球范围内屡屡发生的信息安全事件 就是最鲜活的案列。 对于电网企业而言,随着电网规模的扩大,业务的不断发展,企业拥有海量的信息资产。 跟其他很多 企业一样,电网企业也不能幸免于各种内外部威胁的冲击。因此如何保护好这些信息资产对企业而言是至关 重要的。 本文从笔者所在企业(基层供电局)信息管理现状入手,分析了企业当前所面临的信息安全管理困境, 借助当前国际上公认的比较成熟的信息安全管理体系(Information Security Management System,简称 ISMS) 标准-------ISO27001 的管理思想,推动企业信息安全管理制度完善,建立和完善企业信息安全管理体系框 架,促进企业信息安全管理能力提升。 二、ISO27001标准简介 ISO 27001 完整名称是:ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系-要求,是当前国际 信息安全管理领域最具代表性的信息安全管理体系标准,获得了很多国家的认可。它来源于英国标准协会 (British Standards Institute)于 1995 年制定的信息安全管理标准 BS7799。该标准是应用最为广泛的信 息安全管理标准,至 2005 年全部被国家标准化组织吸纳,形成了 ISO/IEC 27001:2005《信息技术安全技术 信息安全管理体系要求》和 ISO/IEC 27002:2005《信息技术安全技术信息安全管理实施细则》两个国际标准。 ISO/IEC270001 标准由两部分组成,第一部分是信息安全管理体系的实施指南,提供了一套综合的由信 息安全最佳实践组成的实施规则,包含 11 个控制领域,39 项控制目标以及 133 项控制措施。第二部分是信 息安全管理体系规范,详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风 险评估标准。该标准遵循戴明环(即规划(plan) 、执行(do)、检查(check)、改进(action) ,简称 PDCA)

打分:

0 星

用户评论:

电力科技在线 (英文缩写etmtch) 在广大电力企事业单位的支持下,无疑更将电力科技的作用与价值推向更深、更高和更广。作为电力行业科技领域的专业媒体《电力科技在线》(www.etmtch.org.cn)更须肩负责任,进一步完成建设沟通和推广平台的同时,树立更有深意的目标,发挥推动电力科技在创新体制、制度、思维、技术以及成果应用的现实作用,为电力产业的智能化未来贡献更大的价值。

合作方式