你是否已準(zhǔn)備好打贏違反信息安全的戰(zhàn)役？ISO / IEC 27001標(biāo)準(zhǔn)應(yīng)運(yùn)而生

譯/王雯雯

你是否已準(zhǔn)備好打贏違反信息安全的戰(zhàn)役？ISO / IEC 27001標(biāo)準(zhǔn)應(yīng)運(yùn)而生

譯/王雯雯

目前，信息安全管理體系標(biāo)準(zhǔn)ISO / IEC 27001炙手可熱。在當(dāng)今世界，數(shù)字和網(wǎng)絡(luò)攻擊的復(fù)雜性愈發(fā)上升，標(biāo)準(zhǔn)的應(yīng)用亟需推廣。事實(shí)上，根據(jù)今年早些時(shí)候英國(guó)發(fā)表的研究，因?yàn)樾畔踩┒炊苡绊懹?guó)企業(yè)數(shù)量和比例繼續(xù)增加。國(guó)際標(biāo)準(zhǔn)組織(ISO)應(yīng)此類需求，制定了 ISO/IEC 27001標(biāo)準(zhǔn)，為如何建立、推行、維持及改善信息安全管理系統(tǒng)提供幫助。信息安全管理系統(tǒng)(ISMS)是高層管理人員用以監(jiān)察及控制信息安全、減少商業(yè)風(fēng)險(xiǎn)和確保保安系統(tǒng)持續(xù)符合企業(yè)、客戶及法律要求的一個(gè)體系。ISO/IEC 27001:2005 能協(xié)助機(jī)構(gòu)保護(hù)專利信息，同時(shí)也為制定統(tǒng)一的機(jī)構(gòu)保安標(biāo)準(zhǔn)搭建了一個(gè)平臺(tái)，更有助于提升安全管理的實(shí)務(wù)表現(xiàn)和增強(qiáng)機(jī)構(gòu)間商業(yè)往來的信心與信任。

本標(biāo)準(zhǔn)涵蓋了建立、實(shí)施、運(yùn)行、監(jiān)控、審查、維護(hù)和改善您的 ISMS 的過程方法。實(shí)施并通過ISO/IEC 27001認(rèn)證將有助于保護(hù)信息資產(chǎn)，并能夠使所有利益相關(guān)方（尤其是公司客戶）放心。

小企業(yè)同樣面臨信息安全威脅

現(xiàn)實(shí)中，永遠(yuǎn)不僅僅只有大型公司受到威脅。普華永道對(duì)英國(guó)商業(yè)部的研究表明，創(chuàng)新能力突出的小企業(yè)正在經(jīng)歷信息安全保衛(wèi)戰(zhàn)役。其慘烈程度，以往只能在大型組織中看到。隨著經(jīng)濟(jì)的發(fā)展，87%的小企業(yè)遭受過或者正在遭受信息安全危機(jī)。

此外，報(bào)告認(rèn)為，在日趨網(wǎng)絡(luò)化的世界里，“信息”對(duì)建立競(jìng)爭(zhēng)優(yōu)勢(shì)起著舉足輕重的作用。但它同時(shí)也是柄雙刃劍，當(dāng)信息被意外或刻意的傳給惡意的接收者時(shí)，同樣的信息也可能導(dǎo)致一所機(jī)構(gòu)倒閉。智能手機(jī)、平板電腦、社交網(wǎng)絡(luò)等等途徑，越來越影響到日常信息安全。負(fù)責(zé)標(biāo)準(zhǔn)開發(fā)和維護(hù)的工作人員愛德華表示，修訂后的標(biāo)準(zhǔn)（ISO / IEC 27001:2013）也必須反映這些新的變化。他稱：“我們通過改進(jìn)安全控制附件序列，已經(jīng)取得了初步成果。對(duì)于移動(dòng)設(shè)備和其他網(wǎng)絡(luò)漏洞的相關(guān)風(fēng)險(xiǎn)以及被盜危機(jī)大大減小?！?/p>

與其他管理系統(tǒng)兼容性高

該標(biāo)準(zhǔn)的另一個(gè)重大變化是，現(xiàn)在的標(biāo)準(zhǔn)更加符合管理體系標(biāo)準(zhǔn)層次結(jié)構(gòu)的需求。它適用于世界上任何地方任何部門任何規(guī)模的組織。任何使用內(nèi)部或外部電腦系統(tǒng)、擁有機(jī)密資料及/或依靠信息系統(tǒng)進(jìn)行商業(yè)活動(dòng)地機(jī)構(gòu)，均可采用 ISO/IEC 27001:2005標(biāo)準(zhǔn)。簡(jiǎn)單的說，也就是那些需要處理信息、并認(rèn)識(shí)到信息保護(hù)重要性的機(jī)構(gòu)。

本標(biāo)準(zhǔn)尤其適用于信息安全問題對(duì)其至關(guān)重要的行業(yè)，如金融、衛(wèi)生、公共和 IT 部門。此外，它也有利于審計(jì)師認(rèn)證組織，在工作中同時(shí)使用多個(gè)這樣的標(biāo)準(zhǔn)。ISO/IEC 27001 對(duì)代表其它組織進(jìn)行信息管理的組織也非常有效，如 IT 外包公司。采用該標(biāo)準(zhǔn)，可讓客戶確信其信息已受到保護(hù)。