信息是一种资产,一旦损毁、丢失、或被不适当地曝光,会给组织带来一系列的损失,如“冰山原理”所描述,我们能直接感知到的数据的丢失,只是整体损失的冰山一角,潜藏在水面下的部分,可能会是直接损失的6~53倍,这包括:损失了时间,替代的成本,可能的法律风险,声誉受损,丢失潜在的业务,竞争力和生产力受损等等。这些损失是我们不愿意面对的,因此信息安全越来越成为我们关注的热点问题。 信息安全的问题倍受关注,是信息技术发展到一定水平,信息化深入到一定程度之后的一个必然趋势和结果。信息对于业务的重要性,或者讲业务对于信息的依赖性,使得信息安全问题尤为**,另外一个方面,信息媒介的多样性,信息传播的广泛性等因素也造就了保护信息安全的复杂度。因此如何来保护信息安全,怎么样才能保护信息安全,成为技术厂商、管理*经常探讨和论述的话题。 我们知道**信息安全有三个支柱,一个是技术、一个是管理、一个是法律法规。而我们日常提及信息安全时,多是在技术相关的领域,例如IDS入侵检测技术、Firewall防火墙技术、Anti-Virus防病毒技术、加密技术、CA认证技术等等。这是因为信息安全技术和产品的采纳,能够快速见到直接效益,同时,技术和产品的发展水平也相对较高,此外,技术厂商对市场的培育,不断提升着人们对信息安全技术和产品的认知度。虽然大家在面对信息安全事件时总是在叹息:“道高一尺、魔高一丈”,在反思自身技术的不足,实质上人们此时忽视的是另外两个层面的**。 国家的法律法规方面,有专门的部门在研究和制定和推广,不是本文探讨的主题,我们要讨论的是,谁来关注管理对信息安全的**呢?这要靠组织自己通过意识提高,管理水平的提升来逐步改善。 正如“木桶原理”所示,你的能力是由你较弱的那个环节决定的,我们发展信息安全事业,保护信息安全,也应该从上述三个方面全面考量,而不能只偏重其中的某一个部分。 管理体系如何架构 当我们考虑到用管理体系的方法来保护信息安全时,BS7799信息安全管理体系标准无疑是一个很好的帮助: BS7799是一套基于较佳实践的成功的信息安全管理体系方法,她较早由英国商务部推动,由BSI将其发展成为标准。BS7799共分两部分,**部分已经在2000年被采纳为ISO17799,是信息安全管理实践指南,*二部分BS7799-2是信息安全管理体系规范,换言之,*二部分告诉我们应该做什么,**部分则提供了一些如何做或者好做法的指导。 从中我们可以看到,作为一个信息安全管理体系,输入是相关方的信息安全的期望和要求,经过一个PDCA体系的循环,得到的输出将是各相关方信息安全要求的满足,也就是说,信息安全已经受到管理和掌控。 BS7799汇集了优秀企业较佳实践,规范了10个安全控制区域,36个安全控制目标和127个安全控制措施。她以风险评估为基础,自**向下的管理方法,从组织、人员、流程、技术、法律法规、永续经营等*实施的管理体系。 我们构建一个信息安全管理体系,需要考虑以下几个步骤: 1. 定义范围 2. 定义方针 3. 确定风险评估的方法 4. 识别风险 5. 评估风险 6. 识别并评估风险处理的措施 7. 为处理风险选择控制目标和控制措施 8. 准备适用性声明 而构建一个成功的信息安全管理体系的关键成功因素在于: 1. 较高**层对管理体系的承诺; 2. 体系与整个组织文化的一致性,与业务营运目标的一致性; 3. 理清职责权限; 4. 有效的宣传、培训,提升意识,不仅要针对内部员工,也要针对合作伙伴、供应商、外包服务商等。 5. 盘清信息资产、明确信息安全的要求,明晰风险评估和处理的方法和流程; 6. 均衡的测量监控体系,持续监控各种变化,从监控结果中寻求持续改进的机会。 信息安全管理体系当前的发展: BS7799-2可以提供认证服务,该标准是当**可以提供对组织的信息安全管理体系的认证标准。在实施了一套信息安全管理体系之后,可以籍由第三方独立认证,向社会、向公众、向客户证实所实施体系的有效性和效果,提供信心**。 当前**已经颁发了**过1000张证书,并且这个数字正在不断增长中,证书主要集中在日本、英国、印度、闽台。证书的分布主要在**、金融、通信、电子、物流等行业。我国已经颁发证书10张,当前正处于一个蓄势待发的阶段。 BS7799标准已经被很多国家和地区采纳为国家标准或地区标准,如日本、闽台等地。我国在这方面的工作也在进展中。 如您想更详细的了解更多认证资讯,请您网络搜索广汇联合,快人一步,成就管理者风范。
词条
词条说明
ISO27001信息安全管理体系的主要任务 企业信息安全现状的调研评估:全面、准确地了解公司的信息安全现状; 信息资产的识别与安全风险的评估:量化分析公司的信息安全风险; 建立安全策略及管理体系:结合国际国内的较佳实践,制定公司信息安全体系建设规划并编写有关技术建议方案和制度策略,为安全体系建设提供**和指导; 促进安全策略落实与实施:协助通过引入先进的漏洞扫描系统提高现有 IT 系统的安全性;
1、所需活动 组织应确定与信息服务管理体系有关的相关方及其要求。 2、说明 此项必要活动的目的是确保组织确定相关方的要求,以支持信息服务管理体系提供服务。相关方是指能够影响或可能受与信息服务管理体系相关的决定或活动影响的个人或团体。它们可以是组织内部的,也可以是组织外部的。相关方也可以被称为利益相关者。 例:相关方可以包括客户和客户代表、高管,组织内的管理代表、客户管理、人员、支持职能(例如.技术
ISO27001认证标准的特点 一、ISO27001认证标准对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用。 二、该标准为开发组织的安全标准和有效的安全管理做法提供公共基础,并为组织之间的交往提供信任。 三、标准指出“像其他重要业务资产一样,信息也是一种资产”,它对一个组织具有价值,因此需要加以合适地保护。 四、信息安全防止信息受到各种威胁,以确保业务连续性,使业务受到损害的
企业为什么要三体系认证--ISO9001、ISO14001、ISO45001?
做这三个体系认证有以下目的: 1、实施ISO9001认证,强化品质管理,提高企业效益;增强客户信心,扩大市场份额。 2、实施ISO9001认证优化企业内部质量架构管理化,节省了各个流程的生产服务管理审核的精力和费用。 3、企业实施ISO14001标准可达到节能降耗、优化成本、改善企业形象。 4、获得ISO14001认证已经成为打破国际绿色壁垒、进入欧美市场的准入证,并逐渐成为组织进行生产、经营活动
公司名: 广汇联合(北京)认证服务有限公司
联系人: 杨
电 话: 13310854062
手 机: 13265828856
微 信: 13265828856
地 址: 北京通州砖厂南里47号3层307
邮 编:
网 址: dbiso9000.b2b168.com
公司名: 广汇联合(北京)认证服务有限公司
联系人: 杨
手 机: 13265828856
电 话: 13310854062
地 址: 北京通州砖厂南里47号3层307
邮 编:
网 址: dbiso9000.b2b168.com