詳情介紹
ISO27000系列標(biāo)準(zhǔn)相關(guān)知識
信息是組織的血液���,存在的方式各異�。可以是打印�����,手寫���,也可以是電子���,演示和口述的。當(dāng)今商業(yè)競爭日趨激烈���,來源于不同渠道的信息���,威脅到信息的一致性。它們來自內(nèi)部�����,外部����,意外的����,還可能是惡意的�����。隨著信息儲存����,發(fā)送新技術(shù)的廣泛使用�����,我們面臨的各種風(fēng)險也在增高�����。信息安全越來越重要�����!信息安全不是有一個終端防火墻�����,或找一個24小時提供信息安全服務(wù)的公司就可以達到的。它需要全面的綜合管理�。信息安全管理體系的引入,可以協(xié)調(diào)各個方面信息管理����,使管理更為有效。信息安全管理體系是系統(tǒng)的對組織敏感信息及信息資產(chǎn)進行管理����,涉及到人,程序和信息科技(IT)系統(tǒng)����。需要建立廣泛的信息安全方針。保證安全性�,公正性。適用組織內(nèi)部和客戶�����。信息安全管理體系ISMS正成為上管理體系標(biāo)準(zhǔn)銷售增長量大的產(chǎn)品����。
信息安全管理體系(Information security management systems���,簡稱ISMS)(即ISOIEC 27000系列)是目前國際信息安全管理標(biāo)準(zhǔn)研究的重點。
ISO27000 系列共包括10個標(biāo)準(zhǔn)����,當(dāng)前已經(jīng)發(fā)布和在研究的有6個,分別為:
1���、ISOIEC 27000《信息安全管理體系 基礎(chǔ)和詞匯》;
2�����、ISOIEC 27001:2005《信息安全管理體系 要求》�;
3、ISOIEC 17799:2005《信息安全管理實用規(guī)則》(2007年4月后���,編號將改為27002)�����;
4�、ISOIEC 27003《信息安全管理體系實施指南》���;
5��、ISOIEC 27004《信息安全管理測量》��;
6���、ISOIEC 27005《信息安全風(fēng)險管理》�。
一���、什么是信息安全�?像其他重要業(yè)務(wù)資產(chǎn)一樣��,信息也是對組織業(yè)務(wù)至關(guān)重要的一種資產(chǎn)�,因此需要加以適當(dāng)?shù)乇Wo。在業(yè)務(wù)環(huán)境互連日益增加的情況下這一點顯得尤為重要����。這種互連性的增加導(dǎo)致信息暴露于日益增多的、范圍越來越廣的威脅和脆弱性當(dāng)中(也可參考關(guān)于信息系統(tǒng)和網(wǎng)絡(luò)的安全的OECD指南)����。信息可以以多種形式存在。它可以打印或?qū)懺诩埳��、以電子方式存儲、用郵寄或電子手段傳送�����、呈現(xiàn)在膠片上或用語言表達����。無論信息以什么形式存在,用哪種方法存儲或共享���,都應(yīng)對它進行適當(dāng)?shù)乇Wo�。信息安全是保護信息免受各種威脅的損害�,以確保業(yè)務(wù)連續(xù)性���,業(yè)務(wù)風(fēng)險小化�����,投資回報和商業(yè)機遇大化���。信息安全是通過實施一組合適的控制措施而達到的,包括策略�����、過程、規(guī)程�����、組織結(jié)構(gòu)以及軟件和硬件功能����。在需要時需建立、實施���、監(jiān)視���、評審和改進這些控制措施,以確保滿足該組織的特定安全和業(yè)務(wù)目標(biāo)�。這個過程應(yīng)與其他業(yè)務(wù)管理過程聯(lián)合進行。
二��、為什么需要信息安全�����?信息及其支持過程、系統(tǒng)和網(wǎng)絡(luò)都是重要的業(yè)務(wù)資產(chǎn)�����。定義�����、實現(xiàn)��、保持和改進信息安全對保持競爭優(yōu)勢��、現(xiàn)金周轉(zhuǎn)���、贏利�����、守法和商業(yè)形象可能是至關(guān)重要的。各組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨來自各個方面的安全威脅�����,包括計算機輔助欺詐����、間諜活動��、惡意破壞����、毀壞行為���、火災(zāi)或洪水��。諸如惡意代碼�����、計算機黑客搗亂和拒絕服務(wù)攻擊等導(dǎo)致破壞的安全威脅�����,已經(jīng)變得更加普遍���、更有野心和日益復(fù)雜。信息安全對于公共和專用兩部分的業(yè)務(wù)以及保護關(guān)鍵基礎(chǔ)設(shè)施是非常重要的���。在這兩部分中信息安全都將作為一個使動者���,例如實現(xiàn)電子政務(wù)或電子商務(wù)�����,避免或減少相關(guān)風(fēng)險�����。公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)的互連��、信息資源的共享都增加了實現(xiàn)訪問控制的難度����。分布式計算的趨勢也削弱了集中的���、專門控制的有效性�����。許多信息系統(tǒng)并沒有被設(shè)計成是安全的����。通過技術(shù)手段可獲得的安全性是有限的�,應(yīng)該通過適當(dāng)?shù)墓芾砗鸵?guī)程給予支持。確定哪些控制措施要實施到位需要仔細(xì)規(guī)劃并注意細(xì)節(jié)�����。信息安全管理至少需要該組織內(nèi)的所有員工參與�����,還可能要求利益相關(guān)人�、供應(yīng)商、三方�����、顧客或其他外部團體的參與��。外部組織的顧問�、專家建議可能也是需要的。
三�、 如何建立安全要求組織識別出其安全要求是非常重要的,安全要求有三個主要來源:
1��、一個來源是在考慮組織整體業(yè)務(wù)戰(zhàn)略和目標(biāo)的情況下���,評估該組織的風(fēng)險所獲得的�。通過風(fēng)險評估,識別資產(chǎn)受到的威脅��,評價易受威脅利用的脆弱性和威脅發(fā)生的可能性���,估計潛在的影響���。
2、另一個來源是組織���、貿(mào)易伙伴�、合同方和服務(wù)提供者必須滿足的法律�����、法規(guī)�����、規(guī)章和合同要求�����,以及他們的社會文化環(huán)境��。
3�����、三個來源是組織開發(fā)的支持其運行的信息處理的原則��、目標(biāo)和業(yè)務(wù)要求的特定集合�����。
