ISO27001信息安全管理體系
一、什么是信息安全
信息象其他重要的商務資產一樣,也是一種資產,對一個組織而言具有價值,因而需要妥善保護。信息安全使信息避免一系列威脅,保障商務的連續性,最大限度地減少商務的損失,最大限度地獲取投資和商務的回報。
信息是所有組織的血肉。它可以以多種形式存在,可以是打印出來的或寫出來的論文,電子存儲信件,通過郵件或使用其他電子手段傳遞,顯示在膠片上或表達在會話中。事實上,所有的組織都有他們各自處理信息的形式。銀行、保險和信用卡公司都處理消費者信息,保健提供者需要管理其病人的信息,政府部門存儲機密的和分類信息。不僅僅是市場,所有組織需要安全性管理,存儲和保護公司以及客戶信息。不論信息采用什么方式或采取什么手段共享和存儲,它應該總是得到妥善保護。
信息安全的維持可表現為:
A安全性:確保信息僅可讓授權獲取的人士訪問;
B完整性:保護信息和處理方法的準確和完善;
C可用性:確保授權人需要時可以獲取信息和相應的資產。
信息安全通過執行一套適當的控制來達到。它可以是方針、慣例、程序、組織結構和軟件功能來實現,這些控制方式需要確定,以保障組織特定安全目標的實現。
二、為什么需要信息安全
信息的支持過程,系統和網絡都是重要的商務資產。信息的保密性、完整性和可用性對保持競爭優勢、資金流動、效益、法律符合性和商務形象都是至關重要的。
而如今的組織及其信息系統和網絡面臨著包括計算機輔助欺詐、刺探、陰謀破壞行為、火災、水災等大范圍的安全威脅,而其他類似計算機病毒、盜竊和服務器非法入侵破壞等已變得更加普遍,更加錯綜復雜。據統計表明80-90%公司的計算機犯罪是內部人干的,在金融系統中,自1992年英國商業因信息安全的損失估計達到1.2萬億英鎊(參考信息安全技術報告,Vol.3,No.4)。組織依靠信息系統和服務意味著更易受到安全威脅的破壞;公共和私人網絡的互連及信息資源的共享增大了控制訪問的難度;分布式計算機的趨勢減弱了中央、專家控制的有效性……因此保護和防衛信息是很必要的。而由于許多信息系統并非在設計時就考慮了安全,依靠技術手段實現安全很有限,則應該由適當的管理和程序來支持。
信息安全管理是通過保證維護信息的機密性,完整性和可用性來管理和保護機構部門的所有的信息資產的一項體制。如果按要求的規范在設計階段實行信息安全管理,還會降低成本,提高效率。
三、信息安全標準建立的目的和適用范圍
BS 7799——信息安全標準是英國的工業、政府和商業共同需求而發展的一個標準,它確保公司發展,實施和估量有效的安全管理時間并為公司貿易內部提供信心。目前此標準是領導英國和國際商業最好的信息安全慣例并受到國際一致好評。因為標準適用于各種類型的組織,公共的或私人的部門和任何商業環境,它的第一部分包含最好的信息安全管理應用并且是國際適用的。關于BS7799成為國際(ISO)標準的評審正在進行。
BS7799的最原始的版本是1995年出版:為了確保它的不過時,所有的標準需要定期地評定。BS 7799:1999是1995版本的一個修訂版本和擴展版本:它包含了所有的原始的控制和一套在原有的基礎上擴展的新的控制。例如,新版本包括關于電子商務,移動計算機,遠程工作和外部采辦等領域的控制。
四、信息安全標準的主要要求
BS 7799分兩部分出版:1、BS 7799-1:1999信息安全管理應用程序和2、BS 7799-2:1999信息安全管理系統的規范。它是用于組織實施信息安全管理的一項體制。有10個以文獻形式體現各種控制主題,其范圍從來自第三方合同的風險識別,報告各種可能的安全事故到密碼管理系統和用戶培訓。這十個章節和它們的客觀目標在BS 7799中第二部分中有詳細描述,大致可總結為:
信息安全方針——為信息安全提供管理方向和保障;
組織安全——建立組織內的管理體系以便安全管理;
資產歸類和控制——維護組織資產的適當保護系統;
人員安全——減少人為造成的風險;
實物和環境安全——防止對關于IT服務的未經許可的介入,損傷和干擾服務;
通訊和操作管理——保證通訊和操作設備的正確和安全維護;
訪問控制——控制對商業信息的訪問;
系統開發和維護——保證安全建造進入安全系統;
商業連續性管理——防止商業活動中斷及保護關鍵商業過程不受重大失誤或災難事故的影響;
遵守——避免任何違反法令、法規、合同約定及其他安全要求的行為。
總之,隨著組織間的電子網絡的增加,通過信息安全管理的參考文獻記載可以看到信息安全管理明顯的利益。它能夠建立起網站和貿易伙伴之間的互相信任并為IT用戶和服務提供商之間提供一個基礎的設備管理。再加上信息安全威脅隨信息爆炸時代逐漸升級,越來越多的組織已經意識到執行信息安全標準的益處。
實施ISO27001認證需準備的材料:
1)公司資質;
2)組織簡介;
3)申請認證產品的生產、加工或服務工藝流程圖;
4)臨時場所、多場所需提供清單;
5)管理手冊、程序文件及組織機構圖;
6)服務器數量以及終端數量;
7)服務器數量以及終端數量;
8)適用性聲明、資產列表;
9)保密協議、信息安全敏感區域的聲明;
10)支持ISO27000信息安全管理體系的規程和控制措施、風險評估方法的描述、風險處置計劃、組織為確保其信息安全過程的有效規范/運行和控制以及描述如何測量控制措施的有效性所需的形成文件的規程。
掃一掃咨詢微信客服
