波多野结衣一区二区三区四区视频,伊人久久精品午夜,亚洲欧美日韩国产综合第一产区,亚洲人人爽人人澡

手 機:13912634833 [李經理]
手 機:18913534833 [王小姐]
電 話:0512-66560470 66560471
Q Q :1842032656 1053766751
傳 真:66560473
郵 箱:hanweiqiguan@163.com
地 址:蘇州市吳中區(qū)金山南路47-2新華大廈515室

ICT/BCM

ISO/IEC 27001 信息安全管理體系
添加時間:2017-01-11 14:25:45 人氣:1195

信息是組織的血液,存在的方式各異??梢允谴蛴。謱?,也可以是電子,演示和口述的。當今商業(yè)競爭日趨激烈,來源于不

同渠道的信息,威脅到信息的一致性。它們來自內部,外部,意外的,還可能是惡意的。隨著信息儲存,發(fā)送新技術的廣泛使

用,我們面臨的各種風險也在增高。信息安全越來越重要!

信息安全不是有一個終端防火墻,或找一個24小時提供信息安全服務的公司就可以達到的。它需要全面的綜合管理。信息安全

管理體系的引入,可以協(xié)調各個方面信息管理,使管理更為有效。信息安全管理體系是系統(tǒng)的對組織敏感信息及信息資產進行

管理,涉及到人,程序和信息科技(IT)系統(tǒng)。需要建立廣泛的信息安全方針。保證安全性,公正性。適用組織內部和客戶。信息

安全管理體系ISMS正成為世界上管理體系標準銷售增長量最大的產品。

信息安全管理體系(Information security management systems,簡稱ISMS)(即ISO/IEC 27000系列)是目前國際信息安

管理標準研究的重點。

27000系列共包括10個標準,當前已經發(fā)布和在研究的有6個,分別為:

1ISO/IEC 27000:2009《信息安全管理體系基礎和詞匯》;

2ISO/IEC 27001:2013《信息安全管理體系要求》;

3ISO/IEC 27002:2013《信息安全管理實用規(guī)則》;

4ISO/IEC 27003:2010《信息安全管理體系實施指南》;

5ISO/IEC 27004:2009《信息安全管理測量》;

6、ISO/IEC 27005:2008《信息安全風險管理》;

7、ISO/IEC 27006:2007《認證機構要求》;

8、ISO/IEC 27007《信息安全管理體系審核指南》;

9、ISO/IEC 27008《控制審核員指南》;

一、什么是信息安全?

像其他重要業(yè)務資產一樣,信息也是對組織業(yè)務至關重要的一種資產,因此需要加以適當?shù)乇Wo。在業(yè)務環(huán)境互連日益增加的

情況下這一點顯得尤為重要。這種互連性的增加導致信息暴露于日益增多的、范圍越來越廣的威脅和脆弱性當中(也可參考關

于信息系統(tǒng)和網(wǎng)絡的安全的OECD指南)。信息可以以多種形式存在。它可以打印或寫在紙上、以電子方式存儲、用郵寄或電

子手段傳送、呈現(xiàn)在膠片上或用語言表達。無論信息以什么形式存在,用哪種方法存儲或共享,都應對它進行適當?shù)乇Wo。信

息安全是保護信息免受各種威脅的損害,以確保業(yè)務連續(xù)性,業(yè)務風險最小化,投資回報和商業(yè)機遇最大化。信息安全是通過

實施一組合適的控制措施而達到的,包括策略、過程、規(guī)程、組織結構以及軟件和硬件功能。在需要時需建立、實施、監(jiān)視、

評審和改進這些控制措施,以確保滿足該組織的特定安全和業(yè)務目標。這個過程應與其他業(yè)務管理過程聯(lián)合進行。

二、如何建立安全要求?

組織識別出其安全要求是非常重要的,安全要求有三個主要來源:

1、一個來源是在考慮組織整體業(yè)務戰(zhàn)略和目標的情況下,評估該組織的風險所獲得的。通過風險評估,識別資產受到的威脅,

評價易受威脅利用的脆弱性和威脅發(fā)生的可能性,估計潛在的影響。

2、另一個來源是組織、貿易伙伴、合同方和服務提供者必須滿足的法律、法規(guī)、規(guī)章和合同要求,以及他們的社會文化環(huán)境。

3、第三個來源是組織開發(fā)的支持其運行的信息處理的原則、目標和業(yè)務要求的特定集合。

三、評估安全風險

安全要求是通過對安全風險的系統(tǒng)評估予以識別的。用于控制措施的支出需要針對可能由安全故障導致的業(yè)務損害加以平衡。

風險評估的結果將幫助指導和決定適當?shù)墓芾硇袆?、管理信息安全風險的優(yōu)先級以及實現(xiàn)所選擇的用以防范這些風險的控制措

施。風險評估應定期進行,以應對可能影響風險評估結果的任何變化。

四、選擇控制措施

一旦安全要求和風險已被識別并已做出風險處理決定,則應選擇并實現(xiàn)合適的控制措施,以確保風險降低到可接受的級別???/span>

制措施可以從《信息安全管理實用規(guī)則》或其他控制措施集合中選擇,或者當合適時設計新的控制措施以滿足特定需求。安全

控制措施的選擇依賴于組織所做出的決定,該決定是基于組織所應用的風險接受準則、風險處理選項和通用的風險管理方法,

同時還要遵守所有相關的國家和國際法律法規(guī)?!缎畔踩芾韺嵱靡?guī)則》中的某些控制措施可被當作信息安全管理的指導原

則,并且可用于大多數(shù)組織。

五、信息安全起點

許多控制措施被認為是實現(xiàn)信息安全的良好起點。它們或者是基于重要的法律要求,或者被認為是信息安全的常用慣例。從法

律的觀點看,根據(jù)適用的法律,對某個組織重要的控制措施包括:

a)數(shù)據(jù)保護和個人信息的隱私;

b)保護組織的記錄;

c)知識產權。

被認為是信息安全的常用慣例的控制措施包括:

a)信息安全方針文件;

b)信息安全職責的分配;

c)信息安全意識、教育和培訓;

d)應用中的正確處理;

e)技術脆弱性管理;

f)業(yè)務連續(xù)性管理;

g)信息安全事故和改進管理。

這些控制措施適用于大多數(shù)組織和環(huán)境。應注意,雖然《信息安全管理實用規(guī)則》中的所有控制措施都是重要的并且是應被考

慮的,但是應根據(jù)某個組織所面臨的特定風險來確定任何一種控制措施是否是合適的。因此,雖然上述方法被認為是一種良好

的起點,但它并不能取代基于風險評估而選擇的控制措施。

六、關鍵的成功因素

經驗表明,下列因素通常對一個組織成功地實現(xiàn)信息安全來說,十分關鍵:

a)反映業(yè)務目標的信息安全方針、目標以及活動;

b)和組織文化保持一致的實現(xiàn)、保持、監(jiān)視和改進信息安全的方法和框架;

c)來自所有級別管理者的可視化的支持和承諾;

d)正確理解信息安全要求、風險評估和風險管理;

e)向所有管理人員、員工和其它方傳達有效的信息安全知識以使他們具備安全意識;

f)向所有管理人員、員工和其它方分發(fā)關于信息安全方針和標準的指導意見;

g)提供資金以支持信息安全管理活動;

h)提供適當?shù)囊庾R、培訓和教育;

i)建立一個有效的信息安全事故管理過程;

j)實現(xiàn)一個測量系統(tǒng),它可用來評價信息安全管理的執(zhí)行情況和反饋的改進建議。

七、為什么需要信息安全?

信息及其支持過程、系統(tǒng)和網(wǎng)絡都是重要的業(yè)務資產。定義、實現(xiàn)、保持和改進信息安全對保持競爭優(yōu)勢、現(xiàn)金周轉、贏利、

守法和商業(yè)形象可能是至關重要的。各組織及其信息系統(tǒng)和網(wǎng)絡面臨來自各個方面的安全威脅,包括計算機輔助欺詐、間諜活

動、惡意破壞、毀壞行為、火災或洪水。諸如惡意代碼、計算機黑客搗亂和拒絕服務攻擊等導致破壞的安全威脅,已經變得更

加普遍、更有野心和日益復雜。信息安全對于公共和專用兩部分的業(yè)務以及保護關鍵基礎設施是非常重要的。在這兩部分中信

息安全都將作為一個使動者,例如實現(xiàn)電子政務或電子商務,避免或減少相關風險。公共網(wǎng)絡和專用網(wǎng)絡的互連、信息資源的

共享都增加了實現(xiàn)訪問控制的難度。分布式計算的趨勢也削弱了集中的、專門控制的有效性。許多信息系統(tǒng)并沒有被設計成是

安全的。通過技術手段可獲得的安全性是有限的,應該通過適當?shù)墓芾砗鸵?guī)程給予支持。確定哪些控制措施要實施到位需要仔

細規(guī)劃并注意細節(jié)。信息安全管理至少需要該組織內的所有員工參與,還可能要求利益相關人、供應商、第三方、顧客或其他

外部團體的參與。外部組織的顧問、專家建議可能也是需要的。 

 

很多企業(yè)是基于以下原因或要求來實施ISO 27001信息安全管理體系的:

1.客戶要求:絕大部分跨國公司或大型企業(yè)為了專注于核心業(yè)務,會將其部分不占優(yōu)勢的商業(yè)流程外包給專業(yè)公司來做(或自

己成立獨立于核心業(yè)務的專業(yè)公司來做,屬于內部供方的概念,業(yè)務、財務等獨立核算),其首先關心的是質量和成本,然后

就是外包方(供方)如何保證其信息和信息資產的安全,會明示或隱含要求其外包方建立和實施信息安全管理體系,甚至通過

第三方的認證,目前這仍然是企業(yè)通過ISO 27001第三方認證的主要原因!

2.監(jiān)管要求:很多企業(yè)由于是上市公司或準備上市,各國上市監(jiān)管機構都有內控及合規(guī)性的要求,信息安全是內控的主要要求

之一,尤其是美國、日本和歐洲,雖然沒有明確要求通過ISO 27001的第三方認證,但是作為上市機構的相關組織通過第三方

認證更有說服力!

3.企業(yè)只身要求:

保護企業(yè)的知識產權、商標、商業(yè)流程、競爭優(yōu)勢;

維護企業(yè)的聲譽、品牌和客戶信任;

減少可能潛在的風險隱患,減少信息系統(tǒng)故障、人員流失帶來的經濟損失;

強化員工的信息安全意識,規(guī)范組織信息安全行為;

在信息系統(tǒng)受到侵襲時,確保業(yè)務持續(xù)開展并將損失降到最低程度;

業(yè)務連續(xù)性(BCM)的要求。

咨詢電話:
0512-66560470