今天我们对企业可以从哪些方面进行ISO27001信息技术安全管理体系建设进行一个全面的梳理,希望可以为更多的企业解疑答惑。
企业要想建设符合标准要求的信息安全管理系统,可以从以下五个方面来进行:
一、在系统内确定体系的使用范围
体系引用落地实施后,是否需要覆盖到企业的各个部门,或者指定部门,同时考虑覆盖网络系统、服务器平台系统、数据、安全管理、应用系统以及支撑信息系统的场所和所处的周边环境,确保计算机系统正常运营的设施设备等。
二、安全风险评估
企业技术类的评估和安全管理类的评估。安全管理评估的内容包括与ISO27001信息安全管理体系相关的11个方面。安全技术评估是通过对信息设备的安全扫描和设备的配置,对现有网络设备、服务器系统、终端和网络安全架构的安全状况和薄弱环节进行检查和分析并提供修复。
三、根据实际规划系统建设方案
在风险评估的基础上规划系统建设方案,针对企业存在的安全风险提出安全建议,提高系统的安全性、防御性和抗攻击能力。
四、信息安全体系建设与运行
系统建设以信息安全模式和企业信息化为基础。规划信息安全技术可以从安全基础设施、网络、系统和应用四个方面进行规划。
五、不断完善持续改进
ISO27001认证标准信息安全管理体系文件编制完成后,按文件控制的要求进行评审和批准,有效的体系文件下发到各部门,保持体系运行过程中的记录,定期进行内部审核和管理评审,对不符合或潜在不符合项采取纠正和预防措施,不断完善信息安全管理体系。