基于新版ISO27000对软件行业信息安全的解读.docVIP

基于新版ISO27000对软件行业信息安全的解读 　　【 摘 要 】 有效的企业安全体系将成为现代企业发展的基本要求。作为软件行业，好的信息安全体系已是企业的核心竞争力。论文从ISO27000的改版，企业将如何针对新的标准与新的控制措施调整与改进自身信息安全管理体系作出相应解读。 中国论文网 /8/view-7178129.htm 　　【 关键词 】 新版ISO27000；软件行业；信息安全管理体系；PDCA模型 　　Based on the New ISO27000 to the Understanding of the Software Industry， Information Security 　　Wen Yan-ge Chen Wen-e Wang Gang 　　（Tianjin University of Commerce Tianjin 300134） 　　【 Abstract 】 The effective corporate security system will become the basic requirement of modern enterprise development. As the software industry， good information security system was the core of enterprise competitiveness. This article from the ISO27000 redesign is interpreted accordingly-the enterprise will how to adjust and improve their information security management system to the new standard and new control measures. 　　【 Keywords 】 the new iso27000； software industry； information security management system； the pdca model 　　1 引言 　　如今随着信息化的步伐日益加速以及信息相关技术的飞猛发展，信息资源也日渐成为所有企业维持正常运转的重要资源。信息以及载体信息系统、网络等已经成为了企业生存和发展的重要资产。然而企业的信息安全和数据泄露仍然是企业管理者关注的主要问题之一。大部分企业基于企业实际情况，通过引入国际信息安全管理体系IS027000以及通过最佳的业务实践，建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系（即ISMS），实现对信息安全的预控、在控、可控、能控。 　　而随着2013年发布的ISO27000的改版，各行各业势必会根据自身信息安全的情况对信息安全体系作出调整。本文将针对软件行业在调整下的信息安全管理体系下，如何更好地保持和改进信息安全体系作出解读，使企业更好地依据标准体系和方法论，制定出符合企业长久发展的信息安全管理体系。 　　2 ISO标准 　　2.1 ISO标准及变化 　　ISO/IEC27000（Information Security Management System Fundamentals And Vocabulary）是信息安全管理体系基础和术语，ISO/IEC 27000提供了ISMS标准族中所涉及的通用术语及基本原则，是ISMS标准族中最基础的标准之一。最新版本于2013年9月25日发布。 　　相对于2005版，新版本对于ISMS建立的基础进行了调整和明确，相较于2005年版本以资产和技术为主题，新版标准则把更多的目光投向组织业务关系，更多地考虑到组织自身及利益相关方的需求，这也是时代发展的整体趋势。新版控制措施ISO27002从旧版的11个领域更新为14个领域，删除了旧版中一些重复的和操作级的控制项。具体是旧版通信与操作管理被划分成为两个独立的领域操作安全和通信安全，足以见新版对这两个领域的重视；新增密码学和供应关系两个独立领域。新版ISO27001将旧版中4.1章节即有关建立和管理ISMS的总要求独立成出来；为了使逻辑性更加严谨，人力资源安全、资产管理以及访问控制位置发生一定改变；从章节上讲，由8个章节拓展到10个章节，重新构建了ISO标准PDCA的章节构架。 　　2.2 关于PDCA模型 　　此处对于PDCA模型以及新版标准的划分做一简单说明：PDCA模式是国际认可的模型，很多著名的标准和管理体系都遵循这一模式。该模型是一个很好的周期性框架，每个阶段都与其他阶段相关联。 　　PDCA模型分别由四部分组成：P（Plan）――建立ISMS， 根