IT治理和信息

近年來企業(yè)高層對內(nèi)部治理需求越來越實際而具體。隨著信息技術(shù)普遍滲透到企業(yè)組織中的各個方面，企業(yè)越來越依賴IT系統(tǒng)來處理和儲存各種信息，以保證業(yè)務(wù)正常運營，由此IT系統(tǒng)在企業(yè)治理中的作用越來越明晰，IT治理也逐漸被大多數(shù)企業(yè)認(rèn)可，成為董事會和企業(yè)內(nèi)部共同關(guān)注的領(lǐng)域。IT治理的基礎(chǔ)部分是信息保護(hù)包括確保信息的可用性、機密性和完整性這是其他IT治理環(huán)節(jié)實施的前提。

與此同時，和信息相關(guān)的國際標(biāo)準(zhǔn)已經(jīng)出臺，成為標(biāo)準(zhǔn)IT治理框架中的一大基石。

信息和法律法規(guī)

業(yè)內(nèi)人士對ISO27001認(rèn)證趨之若鶩，這其中有兩個關(guān)鍵性的驅(qū)動因素：一是日益嚴(yán)峻的信息威脅，二是不斷增長的信息保護(hù)相關(guān)法規(guī)的需求。

本質(zhì)上說，信息威脅是全球化的。一般來說，它將毫無差別地輻射到每一個擁有、使用電子信息的機構(gòu)和個人。這種威脅在因特網(wǎng)的環(huán)境中自動生成并釋放。更嚴(yán)重的問題是，其他各種形式的危險也在整日威脅數(shù)據(jù)，包括從外部攻擊行為到內(nèi)部破壞、偷盜等一系列危險。

過去的十年內(nèi)，圍繞信息和數(shù)據(jù)問題建立起來的法律法規(guī)體系從無到有、不斷壯大，其中包括專門針對個人數(shù)據(jù)保護(hù)問題的，也有針對企業(yè)財政、運營和風(fēng)險管理體系建立的法規(guī)保障問題的。一套正式規(guī)范的信息管理體系應(yīng)當(dāng)可以提供實踐部署指導(dǎo)。目前，建立這樣的管理體系逐漸成為諸多合規(guī)項目的必要條件，與此同時，針對該管理體系的認(rèn)證逐漸成為各種組織（包括政府部門）的熱門需求，這份認(rèn)證可以為他們帶來重要的潛在商業(yè)合同。

認(rèn)證與遵從

一個組織可以僅遵從ISO17799來建立和發(fā)展ISMS（信息管理體系），因為實踐指南中的內(nèi)容是普遍適用的。然而，由于ISO17799并非基于認(rèn)證框架，它不具備關(guān)于通過認(rèn)證所必需的信息管理體系的要求。而ISO/EC27001則包含這些具體詳盡的管理體系認(rèn)證要求。在技術(shù)層面來講，這就表明一個正在獨立運用ISO17799的機構(gòu)組織，完全符合實踐指南的要求，但是這并不足以讓外界認(rèn)可其已經(jīng)達(dá)到認(rèn)證框架所制定的認(rèn)證要求。不同的是，一個正在同時運用ISO27001和ISO17799標(biāo)準(zhǔn)的機構(gòu)組織，可以建立一個完全符合認(rèn)證具體要求的ISMS，同時這個ISMS體系也符合實踐指南的要求，于是，這一組織就可以獲得外界的認(rèn)同，即獲得認(rèn)證。

歡迎來電與我們一起溝通探討！

聯(lián)系人：張女士