ISO 27001是以信息資產(chǎn)及業(yè)務(wù)風(fēng)險(xiǎn)管理為核心的管理體系,對企業(yè)建立�����、實(shí)施和文件化信息安全管理提出了極高的要求�����。ISO 27001的前身是 BS 7799信息安全管理體系標(biāo)準(zhǔn)�,由全球權(quán)威的標(biāo)準(zhǔn)研發(fā)和國際認(rèn)證評審服務(wù)提供商 BSI 撰寫,后被國際標(biāo)準(zhǔn)組織(International Standardization Organization�����,簡稱 ISO)采納升級為 ISO 27001國際信息安全管理體系認(rèn)證標(biāo)準(zhǔn)�。該標(biāo)準(zhǔn)已成為當(dāng)今國際上最權(quán)威、最嚴(yán)格���,也是最被廣泛接受和應(yīng)用的信息安全領(lǐng)域的體系認(rèn)證標(biāo)準(zhǔn)����。
近年來��,云計(jì)算等新興 IT 技術(shù)在全球范圍內(nèi)高速增長��,同時也帶來了全新的安全威脅���。為此, ISO 組織于2013年9月底將 ISO 27001:2005正式升級為 ISO 27001:2013�。相較而言,ISO 27001:2005更加適用于傳統(tǒng)的 IT 架構(gòu)��,而 ISO 27001:2013則補(bǔ)足了2005版中缺失的新技術(shù)對于信息安全管理的相關(guān)要求。這意味著�����,通過 ISO 27001:2013認(rèn)證��,更能體現(xiàn)企業(yè)對安全的承諾���,表明企業(yè)信息安全管理已建立起一套科學(xué)有效的管理體系��,能夠?yàn)橛脩籼峁┛煽康男畔⒎?wù)�。目前國內(nèi)外許多政府機(jī)構(gòu)��、銀行���、證券���、保險(xiǎn)公司、電信運(yùn)營商��、網(wǎng)絡(luò)公司及許多跨國公司均采用了此項(xiàng) ISO 標(biāo)準(zhǔn)對自己的信息安全進(jìn)行系統(tǒng)的管理�。
ISO27001信息安全管理體系,即Information Security Management System(簡稱ISMS)��,是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo),以及完成這些目標(biāo)所用的方法和體系�����。它是直接管理活動的結(jié)果��,表示為方針��、原則��、目標(biāo)����、方法、計(jì)劃����、活動、程序�����、過程和資源的集合�����。
BS7799-2是建立和維持信息安全管理體系的標(biāo)準(zhǔn)�����,標(biāo)準(zhǔn)要求組織通過確定信息安全管理體系范圍�����,制定信息安全方針��,明確管理職責(zé)�,以風(fēng)險(xiǎn)評估為基礎(chǔ)選擇控制目標(biāo)與控制措施等一系列活動來建立信息安全管理體系;體系一旦建立���,組織應(yīng)按體系的規(guī)定要求進(jìn)行運(yùn)作�,保持體系運(yùn)行的有效性��;信息安全管理體系應(yīng)形成一定的文件����,即組織應(yīng)建立并保持一個文件化的信息安全管理體系,其中應(yīng)闡述被保護(hù)的資產(chǎn)�、組織風(fēng)險(xiǎn)管理方法、控制目標(biāo)與控制措施��、信息資產(chǎn)需要保護(hù)的程度等內(nèi)容。
任何組織��,不論它在信息技術(shù)方面如何努力以及采納如何新的信息安全技術(shù)�,實(shí)際上在信息安全管理方面都還存在漏洞,例如:
缺少信息安全管理論壇��,安全導(dǎo)向不明確�����,管理支持不明顯���;
缺少跨部門的信息安全協(xié)調(diào)機(jī)制����;
保護(hù)特定資產(chǎn)以及完成特定安全過程的職責(zé)還不明確�����;
雇員信息安全意識薄弱��,缺少防范意識����,外來人員很容易直接進(jìn)入生產(chǎn)和工作場所����;
組織信息系統(tǒng)管理制度不夠健全�;
組織信息系統(tǒng)主機(jī)房安全存在隱患��,如:防火設(shè)施存在問題��,與危險(xiǎn)品倉庫同處一幢辦公樓等���;
組織信息系統(tǒng)備份設(shè)備仍有欠缺��;
組織信息系統(tǒng)安全防范技術(shù)投入欠缺�����;
軟件知識產(chǎn)權(quán)保護(hù)欠缺���;
計(jì)算機(jī)房、辦公場所等物理防范措施欠缺��;
檔案�、記錄等缺少可靠貯存場所;
缺少一旦發(fā)生意外時的保證生產(chǎn)經(jīng)營連續(xù)性的措施和計(jì)劃; 信息處理過程及對信息起支持作用的信息系統(tǒng)和信息網(wǎng)絡(luò)都是重要的商務(wù)資產(chǎn)����。信息的保密性、完整性和可用性對保持競爭優(yōu)勢�、資金流動、效益��、法律符合性和商業(yè)形象都是至關(guān)重要的��。然而�,越來越多的組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨著包括計(jì)算機(jī)詐騙、間諜�����、蓄意破壞��、火災(zāi)�、水災(zāi)等大范圍的安全威脅,諸如計(jì)算機(jī)病毒��、計(jì)算機(jī)入侵�、 Dos 攻擊等手段造成的信息災(zāi)難已變得更加普遍 , 有計(jì)劃而不易被察覺。組織對信息系統(tǒng)和信息服務(wù)的依賴意味著更易受到安全威脅的破壞��,公共和私人網(wǎng)絡(luò)的互連及信息資源的共享增大了實(shí)現(xiàn)訪問控制的難度。許多信息系統(tǒng)本身就不是按照安全系統(tǒng)的要求來設(shè)計(jì)的�,所以僅依靠技術(shù)手段來實(shí)現(xiàn)信息安全有其局限性,所以信息安全的實(shí)現(xiàn)必須得到管理和程序控制的適當(dāng)支持��。確定應(yīng)采取哪些控制方式則需要周密計(jì)劃��,并注意細(xì)節(jié)��。信息安全管理至少需要組織中的所有雇員的參與���,此外還需要供應(yīng)商、顧客或股東的參與和信息安全的專家建議�����。在信息系統(tǒng)設(shè)計(jì)階段就將安全要求和控制一體化考慮��,則成本會更低�����、效率會更高����。
客服咨詢
158-0008-7775 
