破解安全架构难题

虽然BS7799标准中有两部分分别给出了组织安全管理体系的要求和最佳参考实践,但距离实际操作仍留下许多空白,这给安全顾问公司提供了价值发挥的空间。在项目实施过程中,还存在许多难点。ISMS的范围在哪?对ISMS范围的正确确定是整个实施的基础和成败关键。它涵盖了业务流程、信息流和相关资产,因而也确定了BS7799信息安全管理体系的边界和目标,这对于实施周期、实施受益的信息管理环节都将产生影响。仅就认证目的而言,企业可以选择任何部门和系统,但显然只有与业务目标一致的范围定义才有助于体现安全管理对于核心业务的促进作用。在本…