ISMS與BCM體系融合實現方法的初探?

王鳳嬌， 徐然， 魏軍

(中國信息安全認證中心，北京100020)

ISMS與BCM體系融合實現方法的初探?

王鳳嬌， 徐然， 魏軍

(中國信息安全認證中心，北京100020)

近年來,隨著各行業對信息技術依賴程度的不斷提高、網絡安全威脅的日益加劇以及各類突發事件的頻發,信息資產的安全和業務的連續性成為社會各界關注的焦點,很多組織已經建立或即將建立信息安全管理體系(ISMS)和業務連續性管理體系(BCMS),必將面臨兩個管理體系(甚至包括ISO 9001等多個管理體系)并存的問題,如何有效利用組織資源,實現利益最大化是一個值得關注的問題。本文在對ISMS和BCMS進行比較分析的基礎上,提出了一種實現ISMS與BCMS融合的思路。

業務連續性管理;信息安全管理;風險評估;業務影響分析;業務連續性計劃

0 引言

為了提高組織的管理能力和適應國際化發展的需要,近年來,ISO 9001(質量管理體系)、ISO 14000(環境管理體系)、ISO 27001(信息安全管理體系)以及新發布的ISO22301(業務連續性管理體系)等國際管理體系標準在各行業得到廣泛的普及和推廣。目前,一個組織同時獨立運行幾個管理體系的現象非常普遍,由此也帶來了一些問題,如:各個管理體系由不同的管理部門負責,缺乏聯系溝通和統一管理;幾套體系文件并行造成文件多且復雜,同一工作可能有不同的標準和制度要求;不同管理體系的定期內審、管理評審、整改等工作重復性較高,單獨開展給基層工作人員帶來了很大負擔等等。基于這些問題,如何有效的利用組織的現有資源,將若干個管理體系進行融合,減少重復性工作,形成優勢互補,實現以低成本、高效率運行管理體系的方式促進組織整體管理水平的提高,從而實現利益最大化值得深入研究和思考。……