一���、ISMS實施背景
1.1 背景簡介
隨著信息技術的高速發(fā)展,特別是Internet的問世及網(wǎng)上交易的啟用,許多信息安全的問題也紛紛出現(xiàn):系統(tǒng)癱瘓、黑客入侵����、病毒感染�、網(wǎng)絡釣魚、網(wǎng)頁改寫����、客戶資料的流失及公司內(nèi)部資料的泄露等等。ISO/IEC27001:2013正為我們建立這樣一個管理體系提供有力的幫助���,它可以幫助組織識別�����、管理和減少信息所面臨的各種風險��,保障組織的信息安全�����。
1.2 為什么要實施基于ISO27001標準的IT服務管理
隨著在世界范圍內(nèi)��,信息化水平的不斷發(fā)展����,信息安全逐漸成為人們關注的焦點�����,世界范圍內(nèi)的各個機構���、組織����、個人都在探尋如何保障信息安全的問題。英國�����、美國�、挪威、瑞典�����、芬蘭���、澳大利亞等國均制定了有關信息安全的本國標準�����,國際標準化組織(ISO)也發(fā)布了ISO17799���、ISO13335、ISO15408等與信息安全相關的國際標準及技術報告。目前����,在信息安全管理方面,英國標準ISO27001:2005已經(jīng)成為世界上應用最廣泛與典型的信息安全管理標準��,它是在BSI/DISC的BDD/2信息安全管理委員會指導下制定完成����,最新版本為:ISO27001:2013�。
一、信息安全的基本知識
信息安全:
是采取措施保護信息資產(chǎn)��,使之不得因偶然或惡意侵犯而遭到破壞����、更改、泄露�����,保證信息系統(tǒng)能夠連續(xù)����、可靠、正常的運行,使安全事件對業(yè)務造成的影響減到最小�����,確保組織業(yè)務運行的連續(xù)性�。
什么是信息:
對公司具有重要價值,可以通過多媒體傳遞和存儲的一種資產(chǎn)����。
哪些是信息:
傳輸網(wǎng)絡的組網(wǎng)圖;招投標的目標區(qū)域和標底����;
電子郵件的內(nèi)容;基站的經(jīng)緯度和位置�����;
設備的配置容量���、板位圖等內(nèi)容��;
公司員工的通訊錄(電話�����、身份證號碼�����、認證產(chǎn)品)�;
節(jié)假日的放假通知。
二����、信息安全的核心
信息安全的核心就是數(shù)據(jù):要保障沒有被破壞過的��、原始的數(shù)據(jù)能夠及時地��、安全地在它的合法擁有者和使用者之間傳遞或存儲�����,而不能被不該獲得它們的人得到或更改�。信息安全的工作就是要保障這些數(shù)據(jù)不被合法擁有和使用者以外的人竊取、篡改或破壞���,同時保障這些數(shù)據(jù)不會由于操作失誤�����、機器故障�、天災人禍等被破壞。
三���、信息安全管理體系標準(ISO27001)
信息安全管理體系標準(ISO27001):可有效保護信息資源�,保護信息化進程健康�、有序、可持續(xù)發(fā)展�����。ISO27001是信息安全領域的管理體系標準����,類似于質量管理體系認證的 ISO9000標準。當公司通過了ISO27001的認證���,就相當于通過ISO9000的質量認證一般��,表示公司信息安全管理已建立了一套科學有效的管理體系作為保障�����。
根據(jù) ISO27001 對信息安全管理體系進行認證�,可以帶來以下幾個好處:
▲ 引入信息安全管理體系,可以協(xié)調(diào)各個方面信息的管理����,從而使管理更為有效,保證信息安全不是僅有一個防火墻����,它需要全面的綜合管理。
▲ 通過進行ISO27001信息安全管理體系認證�����,可以增進公司間電子商務往來的信用度�,能夠建立起和客戶之間的互相信任����。
▲ 通過認證能保證和證明公司所有的部門對信息安全的承諾。
▲ 通過認證可消除不信任感����。
四、信息安全相關資產(chǎn)的概念
資產(chǎn)是指對組織有價值且與信息相關的資產(chǎn)
信息資產(chǎn):通常包括各種電子或實物形式存在的數(shù)據(jù)��、文檔��、文件等、知識產(chǎn)權���、商標等無形資產(chǎn)���。為了確保公司信息資產(chǎn)的安全性,公司信息類資產(chǎn)密級劃分為:公開信息�����、受控信息����、企業(yè)秘密三級,使用過程中依據(jù)不同的密級進行相應的審批及使用��。
軟件資產(chǎn):各種系統(tǒng)軟件�����、應用軟件��、工具軟件����、開發(fā)軟件等�,這些軟件資產(chǎn)對各類信息進行處理���、存儲或傳輸�。
硬件資產(chǎn):與業(yè)務相關的IT物理設備��。如產(chǎn)生數(shù)據(jù)類的服務器���、筆記本電腦����、PC機���、打印機���、復印機等�����、通訊傳輸設備(路由器�����、防火墻等)、記錄存儲媒體(U盤�、光盤、移動硬盤等)及輔助設備���。
人員資產(chǎn):承擔某項與業(yè)務活動相關責任的角色和職位��。
五����、信息安全的三要素(CIA)
信息的機密性(C):具有一定保密程度的信息只能讓有權讀到或更改的人讀到和更改�����。不過�,這里提到的保密信息,有比較廣泛的外延:它可以是國家機密�,是一個企業(yè)或研究機構的核心知識產(chǎn)權,是一個銀行個人賬號的用戶信息�,或簡單到你建立微信、QQ時輸入的個人信息��。因此����,信息保密的問題是每一個使用網(wǎng)絡的人都要面對的���。
信息的完整性(I):是指在存儲或傳輸信息的過程中,原始的信息不能允許被隨意更改�����。這種更改有可能是無意的錯誤�����,如輸入錯誤��,軟件瑕疵����,到有意的人為更改和破壞。在設計數(shù)據(jù)庫以及其他信息存儲和傳輸應用軟件時���,要考慮對信息完整性的校驗和保障���。
信息的可用性(A):對于信息的合法擁有和使用者���,在他們需要這些信息的任何時候�,都應該保障他們能夠及時得到所需要的信息。
六����、 信息安全的防護重點
信息安全威脅分類
針對威脅來源,根據(jù)其表現(xiàn)形式將威脅分為:
軟硬件故障��、物理環(huán)境影響�����、無作為或操作失誤����、管理不到位、惡意代碼和病毒��、越權或濫用�、網(wǎng)絡攻擊、泄密�����、篡改����、抵賴����。
五大防護重點
信息防泄漏���;內(nèi)容防篡改�����;內(nèi)部防越權�;系統(tǒng)防入侵����;網(wǎng)絡防攻擊。
客服咨詢
158-0008-7775 
