开局先废话
安全是一个永无止境的追求,它涉及众多环节,每一环都不可或缺。在探索安全的道路上,我们每前进一步,都会发现更多未知的领域和挑战。随着知识的积累,我们逐渐认识到自身的局限和不足,这也激励着我们不断深入学习,拓宽视野。因此,安全不仅是一项任务,更是一种持续的努力和不断的自我超越。只有保持谦逊和敬畏之心,不断学习和进步,我们才能在安全的道路上走得更远,为自身和他人的安全提供更坚实的保障。
这是个很多年以前的项目了,现在和大家分享一下心得,这里做的ISO27001是旧版的,但是思路和过程有共同性,可以参考借鉴,如有好的想法可以一同探讨。
1.背景介绍
致力于提升公司的整体安全水平,确保包含广大用户个人信息的业务系统得到严密保护。面对公司快速发展与信息化基础建设滞后的矛盾,以及管理不规范、人员技术水平差异大、网络和安全意识薄弱等挑战,我深感责任重大。
尽管公司领导层对安全概念的理解尚待深化,但他们对于已发生的安全事件保持了高度重视,这为我们安全部门推动必要的安全改革提供了外部动力。在此背景下,我们逐步建立起了一套完整的安全流程,并成功实施了ISO27001安全管理体系,最终通过了相关认证。
2.我对ISO27001理解
ISO27001与安全的核心都是紧密围绕业务进行的。确保业务的连续性和稳定性是我们所有工作的出发点和落脚点。
为了实现这一目标,我们首先需要全面了解公司的资产情况,包括各类数据、系统、设备等。紧接着,我们要识别这些资产可能面临的风险,如数据泄露、系统瘫痪等。针对这些风险,我们必须制定相应的处理措施,以降低或消除它们对业务的影响。
在此过程中,遵循PDCA(Plan-Do-Check-Action)原则至关重要。这意味着我们在制定每一项制度和要求时,都要从业务的角度出发,确保其具有可操作性和可执行性。只有这样,我们才能确保所写的制度规范能够得到有效执行,为后续的安全落地提供坚实依据。
同时,我也认识到脱离业务谈安全和脱离安全谈业务都是不切实际的。安全和业务是相互依存、相互促进的。只有将二者紧密结合,才能实现公司的长远发展和持续安全。
3.为什么需要ISO27001
- 外因
随着公司的不断发展和壮大,其安全问题已经不再仅仅是公司内部的事务,而是逐渐扩展到社会、合作和业务发展等多个层面。以我们公司为例,推动ISO27001认证的初衷并非来自安全部门,而是业务部门在市场推广过程中遇到的客户需求。客户系统通过ISO27001认证后,他们要求与之对接的系统也具备一定的安全性,这一要求最终转化为我们公司对ISO27001的追求。
在就业市场,虽然个人能力至关重要,但证书往往成为求职的“敲门砖”。对于公司而言,ISO27001证书就是一张展示其安全管理水平的“名片”。拥有这张证书,不仅有助于提升公司的形象和信誉,还能在业务合作中为客户带来更多的信心。
此外,《网络安全法》的出台进一步凸显了国家对网络安全的重视。政府率先垂范,企业也必将紧随其后。面对这一趋势,与其等待安全事故发生后再采取补救措施,不如从现在开始积极投入安全建设,以ISO27001为标准,全面提升公司的安全防护能力。这样不仅能保障业务的连续性和稳定性,还能为公司赢得更多的市场机会和合作伙伴。
- 内因
每个公司在其成长历程中,随着时间的推移,会逐渐积累并建立起众多的信息化系统。这些系统的正常运行对于公司的日常运营和业务发展来说至关重要。然而,在信息化管理的过程中,很多公司都会遇到一些挑战,如职责不明确、边界模糊、流程和制度不完备等问题。
在这种情况下,公司的操作规范和行为往往依赖于员工之间的默契和约定俗成,缺乏体系化的文档支撑。这种情况可能会导致系统的不稳定运行,增加出错的风险,并影响公司的业务效率和客户满意度。
为了确保这些信息化系统的稳定运行,公司需要明确各部门的职责和边界,建立完善的流程和制度,以及编写体系化的文档来支撑日常的操作和行为。只有这样,公司才能确保信息化系统的稳定性、可靠性和安全性,从而为公司的长期发展奠定坚实的基础。
4.怎么做
4.1先理解
首先ISO27001框架从上到下一共有4个层级
手册:
公司依据其业务需求和战略规划,制定了全面的安全方针及相应目标。这一方针旨在确保公司运营过程中的信息安全、网络安全和数据安全,为公司的稳健发展提供坚实保障。同时,公司设定的安全目标旨在不断提升安全防护能力,有效应对各类安全风险和挑战,确保公司业务持续、稳定、安全运行。
程序文件:
这里的核心目的确实更多地体现在对人的行为的规范和约束上。这是因为,无论技术多么先进,人始终是安全体系中最关键、也最不可预测的因素。通过制定明确的规章制度,我们可以引导员工采取正确的行为,避免因为人为错误或疏忽而导致的安全问题。
这些安全制度包括但不限于:访问控制策略,以确保只有经过授权的人员才能访问敏感数据和系统;数据保护政策,规定了员工在处理、存储和传输数据时应遵循的标准;以及安全培训和教育计划,旨在提高员工的安全意识和技能。
然而,我们也认识到,单纯的约束和惩罚并不是解决所有问题的最佳方式。因此,我们的安全制度还强调激励和引导,鼓励员工自觉遵守安全规定,积极参与安全文化的建设。同时,我们也注重制度的灵活性和适应性,以便随着公司业务的发展和安全环境的变化,能够及时调整和完善这些制度。