什么是信息安全ISO27001

     信息安全 (Information security): 是指信息的保密性 (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。

        •  保密性:为**信息仅仅为那些被授权使用的人获取。

        信息的保密性是针对信息被允许访问( Access )对象的多少而不同,所有人员都可以访问的信息为公开信息,需要限制访问的信息一般为敏感信息或秘密,秘密可以根据信息的重要性及保密要求分为不同的密级,例如国家根据秘密泄露对国家经济、安全利益产生的影响(后果)不同,将国家秘密分为秘密、机密和绝密三个等级,组织可根据其信息安全的实际,在符合《国家保密法》的前提下将其信息划分为不同的密级;对于具体的信息的保密性有时效性,如秘密到期解密等。

        •  完整性:为保护信息及其处理方法的准确性和完整性。

        信息完整性一方面是指信息在利用、传输、贮存等过程中不被篡改、丢失、缺损等,另一方面是指信息处理的方法的正确性。不正当的操作,如误删除文件,有可能造成重要文件的丢失。

        •  可用性:为**授权使用人在需要时可以获取信息和使用相关的资产。

        信息的可用性是指信息及相关的信息资产在授权人需要的时候,可以立即获得。例如通信线路中断故障会造成信息的在一段时间内不可用,影响正常的商业运作,这是信息可用性的破坏。不同类型的信息及相应资产的信息安全在保密性、完整性及可用性方面关注点不同,如组织的专有技术、市场营销计划等商业秘密对组织来讲保守机密尤其重要;而对于工业自动控制系统,控制信息的完整性相对其保密性重要得多。

        为什么需要信息安全?

        信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。然而,越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁,诸如计算机病毒、计算机入侵、 Dos 攻击等手段造成的信息灾难已变得更加普遍 , 有计划而不易被察觉。组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏,公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。许多信息系统本身就不是按照安全系统的要求来设计的,所以仅依靠技术手段来实现信息安全有其局限性,所以信息安全的实现必须得到管理和程序控制的适当支持。确定应采取哪些控制方式则需要周密计划,并注意细节。信息安全管理至少需要组织中的所有雇员的参与,此外还需要供应商、顾客或股东的参与和信息安全的*建议。在信息系统设计阶段就将安全要求和控制一体化考虑,则成本会更低、效率会更高。

        BS7799的信息管理过程:

            ①确定信息安全管理方针。

            ②确定 ISMS( 信息安全管理体系) 的范围

            ③进行风险分析。

            ④选择控制目标并进行控制。

            ⑤建立业务持续计划。

            ⑥建立并实施安全管理体系。

        建立信息安全管理体系的作用:

        任何组织,不论它在信息技术方面如何努力以及采纳如何新的信息安全技术,实际上在信息安全管理方面都还存在漏洞,例如:

         •  缺少信息安全管理论坛,安全导向不明确,管理支持不明显; 

         •  缺少跨部门的信息安全协调机制; 

         •  保护特定资产以及完成特定安全过程的职责还不明确; 

         •  雇员信息安全意识薄弱,缺少防范意识,外来人员很*直接进入生产和工作场所; 

         •  组织信息系统管理制度不够健全; 

         •  组织信息系统主机房安全存在隐患,如:防火设施存在问题,与危险品仓库同处一幢办公楼等; 

         •  组织信息系统备份设备仍有欠缺; 

         •  组织信息系统安全防范技术投入欠缺; 

         •  软件知识产权保护欠缺; 

         •  计算机房、办公场所等物理防范措施欠缺; 

         •  档案、记录等缺少可靠贮存场所; 

         •  缺少一旦发生意外时的保证生产经营连续性的措施和计划; 

        ……等等。

        其实,组织可以参照信息安全管理模型,按照先进的信息安全管理标准 BS7799 标准建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用较低的成本,达到可接受的信息安全水平,就可以从根本上保证业务的连续性。组织建立、实施与保持信息安全管理体系将会产生如下作用:

         •  强化员工的信息安全意识,规范组织信息安全行为; 

         •  对组织的关键信息资产进行全面系统的保护,维持竞争优势; 

         •  在信息系统受到侵袭时,确保业务持续开展并将损失降到较低程度; 

         •  使组织的生意伙伴和客户对组织充满信心; 

         •  如果通过体系,表明体系符合标准,证明组织有能力**重要信息,提高组织的**度与信任度; 

         •  促使管理层坚持贯彻信息安全**体系。 

        BS7799标准概述:

         •  1995 年,英国贸工部根据英国国内企业对信息安全日益高涨的呼声,组织大企业的信息安全经理们,制定了世界上**个信息安全管理体系标准 BS7799-1 : 1995 《信息安全管理实施规则》,作为工商业和大、中、小型组织实施信息安全管理的指南。由于该标准采用建议和指导方式编写,因而不宜作为标准使用。 

         •  1998 年,为了适应第三方的需要,英国又制定了**个信息安全管理体系标准 --BS7799-2 : 1998 《信息安全管理体系规范》,作为对一个组织的全面或部分信息安全管理体系进行评审的依据标准。 

         •  1999 年,鉴于计算机和信息处理技术,尤其是网络和通信领域应用的*发展,英国又对信息安全管理体系标准进行了修订。修订后的 BS7799-1 : 1999 和 BS7799-2 : 1999 分别取代了 BS7799-1 : 1995 和 BS7799-2 : 1998 。新修订的 1999 版标准进一步强调了组织在商务工作中所涉及的信息安全和信息安全责任。 BS7799-1 : 1999 和 BS7799-2 : 1999 是一对配套标准, BS7799-1 : 1999 为如何建立和实施符合 BS7799-2 : 1999 标准要求的信息安全管理体系提供了较佳的应用建议。 

         •  2000 年 12 月, BS7799-1 : 1999 已经被 ISO/IEC 正式采纳成为国际标准 -- ISO/IEC 17799 : 2000 《信息技术—信息安全管理实施规则》,另外, BS7799-2 : 1999 也即将于 2002 年底被 ISO/IEC 作为蓝本修订后成为可用于的 ISO/IEC 的《信息安全管理体系规范》。 

        信息安全是实现信息安全目标的较佳途径:

        BS7799-2:2002信息安全管理体系规范向组织提出了一系列的要求,在总则中提出组织应建立并保持一个文件化的信息安全管理体系,阐述被保护的资产、组织风险管理的渠道、控制目标及控制方式和需要的保证等级;通过建立管理架构并加以实施来达到识别控制目标和控制方式,并形成文件和记录。

        BS7799-2:2002的控制细则包括10个方面:

         •  安全方针:为信息安全提供管理指导和支持; 

         •  组织安全:建立信息安全架构,保证组织的内部管理;被第三方访问或外协时,**组织的信息安全; 

         •  资产的归类与控制:明确资产责任,保持对组织资产的适当保护;将信息进行归类,确保信息资产受到适当程度的保护; 

         •  人员安全:在工作说明和资源方面,减少因人为错误、盗窃、欺诈和设施误用造成的风险;加强用户培训,确保用户清楚知道信息安全的危险性和相关事项,以便在他们的日常工作中支持组织的安全方针;制定安全事故或故障的反应程序,减少由安全事故和故障造成的损失,监控安全事件并从这种事件中吸取教训; 

         •  实物与环境安全:确定安全区域,防止非授权访问、破坏、干扰商务场所和信息;通过**设备安全,防止资产的丢失、破坏、资产危害及商务活动的中断;采用通用的控制方式,防止信息或信息处理设施损坏或失窃; 

         •  通信和操作方式管理:明确操作程序及其责任,确保信息处理设施的正确、安全操作;加强系统策划与验收,减少系统失效风险;防范恶意软件以保持软件和信息的完整性;加强内务管理以保持信息处理和通讯服务的完整性和有效性通过 ; 加强网络管理确保网络中的信息安全及其辅助设施受到保护;通过保护媒体处理的安全 , 防止资产损坏和商务活动的中断;加强信息和软件的交换的管理,防止组织间在交换信息时发生丢失、更改和误用; 

         •  访问控制:按照访问控制的商务要求,控制信息访问;加强用户访问管理,防止非授权访问信息系统;明确用户职责,防止非授权的用户访问;加强网络访问控制,保护网络服务程序;加强操作系统访问控制 , 防止非授权的计算机访问;加强应用访问控制,防止非授权访问系统中的信息;通过监控系统的访问与使用,监测非授权行为;在移动式计算和电传工作方面 , 确保使用移动式计算和电传工作设施的信息安全; 

         •  系统开发与维护:明确系统安全要求,确保安全性已构成信息系统的一部份;加强应用系统的安全,防止应用系统用户数据的丢失、被修改或误用;加强密码技术控制,保护信息的保密性、可靠性或完整性;加强系统文件的安全,确保 IT 方案及其支持活动以安全的方式进行;加强开发和支持过程的安全,确保应用系统软件和信息的安全; 

         •  商务连续性管理:防止商务活动的中断及保护关键商务过程不受重大失误或灾难事故的影响; 

         •  符合:符合法律法规要求,避免刑法、民法、有关法令法规或合同约定事宜及其他安全要求的规定相抵触;加强安全方针和技术符合性评审,确保体系按照组织的安全方针及标准执行;系统审核考虑因素,使效果较大化 , 并使系统审核过程的影响较小化。   

        在国际标准 ISO/IEC17799 给出了为实现信息安全所需的各项措施的详细指导,具有很强的可操作性和指导性。

        归根结底,信息安全工作的目的就是在法律、法规、政策的支持与指导下,通过采用合适的安全技术与安全管理措施,提供安全需求的保证,而 BS7799 信息安全标准正是总和了这些要求。组织可以根据自身特点,在 ISO/IEC 17799 指导下,实现信息安全的要求。

        ISO27001:2005 《信息安全管理体系要求》

        ISO27001 : 2005 《信息安全管理体系要求》是关于信息安全管理的标准,是标准不是方法,达到这些标准的要求并不难,重要的是用什么方法去实现。企业应将实施标准作为全面改善内部管理的一次机会,不应该将标准做为一种简单的模式对现有流程运作进行套用,应对现有的组织运作流程进行详细分析,有针对性地设计并改善现有管理体系、改善薄弱环节、改善运作流程及内部沟通,并有效地将先进的管理思想融合到具体的实施程序中,才能发挥标准的真正作用。

        获得证书不是较终目的,建立有责、有序、有效、高效的信息安全管理体系,提高员工的信息安全意识,不断获取并运用先进的管理方法和技术手段才能使企业的信息安全管理水平得以持续的发展和提升。


    中泰智联(北京)认证中心有限公司长春分公司专注于ISO9001质量管理体系认证,ISO14001环境管理体系认证,ISO45001职业健康安全管理体系认证,IATF16949认证,GB/T27922售后服务认证,GB/T27925品牌认证,GB/T31950诚信管理体系认证,ISO39001道路交通安全管理体系认证,ISO22301业务连续性管理体系认证,GB/T35770合规管理体系认证等

  • 词条

    词条说明

  • OHSAS18000对企业的重要意义

    1、强化企业的职业健康安全管理,提高管理水平;职业健康安全管理是 企业全面管理的重要组成部分,OHSAS标准使安全生产管理由被动地接受强制性管理转变为自愿参与。 2、推动我国职业健康安全法律、法规的贯彻落实;OHSAS标准要求企业有相应的制度和程序来跟踪国家法律、法规的变化, 以保证其持续遵守各项法律,法规的要求,使企业由被动接受**的监察转变为主动接受。 3、促进国际贸易,清

  • 软件开发iso9001的关键质量活动

     1、人力资源配置与管理:检查:是否规定了从事影响软件产品质量工作的各类人员所必需的能力;为满足能力需求采取的措施及其有效性评价;是否保持员工的教育、经历、软件等资格认可及考核评价等记录。2、基础设施:计算机,软、硬件的设施配置、管理;主要负责部门研发部或物资部;检查:为完成产品符合性,组织提供了哪些设施、设备(计算机硬件、软件)清单设备是否符合产品的需要?是否得到了维护(网络安全、软件

  • ISO9001两阶段审核方式的必要性

    审核ISO 9001:2000需要审核员对受审核方的质量管理体系(QMS)和业务性质有深入的理解。这就是为什么说在组织认证审核之前,对其进行拜访以及引入**阶段审核是有益的。**阶段审核主要是为认证审核(*二阶段审核)进行范围界定和策划,并使审核员对组织有一个了解。例如,让审核员增进对组织QMS、方针、目标、风险、过程、场所等方面的知识。同时,它也可用于审核机构就其需求和期望与受审核方进行沟通。在

  • 安全出口的管理知识

    近几年,吉林、长春等沿海地区频繁发生多起将车间、仓库、宿舍“三合一”,引起火灾,造成群伤群亡的事故。为了吸取事故教训,《安全生产法》*三十四条规定,生产经营场所和员工宿舍应当设立符合紧急疏散要求、标志明显、保持畅通的出口。禁止封闭、堵塞生产经营场所或者员工宿舍的出口。**疏散通道和安全出口畅通、标志明显,是生产经营单位安全管理的重中之重。“疏散通道”是指走道、楼梯、走廊等;“安全出口”是指符合国家

联系方式 联系我时,请告知来自八方资源网!

电 话: 0431-88039001

手 机: 16721989000

微 信: 16721989000

地 址: 吉林长春绿园区普阳街1688号长融大厦A座4单元407室

邮 编:

网 址: hnqyzx.cn.b2b168.com

八方资源网提醒您:
1、本信息由八方资源网用户发布,八方资源网不介入任何交易过程,请自行甄别其真实性及合法性;
2、跟进信息之前,请仔细核验对方资质,所有预付定金或付款至个人账户的行为,均存在诈骗风险,请提高警惕!
    联系方式

公司名: 中泰智联(北京)认证中心有限公司长春分公司

联系人: 陈艳凤

手 机: 16721989000

电 话: 0431-88039001

地 址: 吉林长春绿园区普阳街1688号长融大厦A座4单元407室

邮 编:

网 址: hnqyzx.cn.b2b168.com

    相关企业
    商家产品系列
  • 产品推荐
  • 资讯推荐
关于八方 | 八方币 | 招商合作 | 网站地图 | 免费注册 | 一元广告 | 友情链接 | 联系我们 | 八方业务| 汇款方式 | 商务洽谈室 | 投诉举报
粤ICP备10089450号-8 - 经营许可证编号:粤B2-20130562 软件企业认定:深R-2013-2017 软件产品登记:深DGY-2013-3594
著作权登记:2013SR134025
Copyright © 2004 - 2024 b2b168.com All Rights Reserved