ISO 27001:企业云计算安全的稳固守护者
近年来,云计算技术的崛起正如春风席卷全球,成为了第三次IT浪潮的代表。云计算不仅引领了技术的飞速发展,还带来了无限商机。据Gartner公司的报告预测,全球公有云服务市场在不久的将来将呈现式增长,预计至2016年,全球云计算产业的增长率将超过百分之一百,市场规模将达到惊人的2070亿美元。
随着云计算的普及,网络安全和数据风险也随之而来。诸如谷歌Gmail的大规模用户数据和亚马逊的网络宕机事件等危机事件,凸显了云计算安全问题的严重性。这些事件提醒我们,企业在享受云计算带来的便利的如何确保数据安全、有效防范网络威胁已成为重大挑战。对此,ISO 27001信息安全管理体系标准扮演了关键角色。
作为全球公认的信息安全管理体系标准,ISO 27001已经被广泛应用于机构、银行、证券、保险公司、电信运营商、网络公司以及众多跨国公司。这一标准重新定义了信息安全管理体系(IS)的要求,旨在帮助企业建立、运行和改进信息安全管理体系,全面规范企业的信息管理,确保云计算服务的安全无虞。
为了有效实施ISO 27001,针对不同层面的培训至关重要。企业管理层需要了解信息安全管理体系的基本理念和作用,以确保高层对信息安全体系架构的实施和运行给予大力支持。各部门的信息安全专员也需要参与标准的内审员培训,加深他们对信息安全体系重要性的认识,形成统一的安全意识。
通过实施ISO 27001信息安全管理体系,企业将收获诸多益处。这包括保障企业内部控制的独立性、满足公司信息管理和业务连续性要求、遵守各项法律法规、向客户提供云计算安全受保护的优势等。该体系还能使信息安全流程、程序和文件材料正式化,独立证明云服务相关风险得到有效管理,并证明高级管理层对信息安全的坚定承诺。通过定期评估流程,企业可以不断监控自身绩效并进行改进。
最近,国际标准化(ISO)发布了新版ISO 27001:2013 DIS版草稿,并向公众征求意见。相较于已经使用了八年的ISO 27001:2005标准,新版标准主要有三大变化:管理体系更易整合、适应企业面临的新挑战以及提供更多延伸参考指引。具体变化包括调整领域和控制措施的数量,新增如智能装置管理等方面的控制措施,并提供一系列指引供企业参考,以强化信息安全管理的不同方面。对于正在准备ISO 27001认证的企业,建议先按照原定进度取得ISO 27001:2005验证,在缓冲期内完成新版转换。
展望未来,以ISO/IEC 27001为核心的信息安全管理标准将逐渐发展成为一套完整的标准族,包括基础术语、要求、最佳实践、实施指南等。这些标准将共同为实施信息安全最佳实践和建立信息安全管理体系提供重要支持。随着云计算技术的不断进步和普及,ISO 27001在企业云计算安全保护中的角色将更加举足轻重。
