什么是信息安全認(rèn)證|ISO27001認(rèn)證|ISO27001咨詢

深圳市億杰企業(yè)管理咨詢有限公司

ISO27001咨詢，ISO27001認(rèn)證，ISO27001費(fèi)用，ISO27001多少錢，ISO27001

信息安全 (Information security): 是指信息的保密性 (Confidentiality) 、完整性 (Integrity) 和可用性 (***ailability) 的保持。

 

    •  保密性：為保障信息僅僅為那些被***使用的人獲取。

    信息的保密性是針對(duì)信息被允許訪問（ Access ）對(duì)象的多少而不同，所有人員都可以訪問的信息為公開信息，需要限制訪問的信息一般為敏感信息或秘密，秘密可以根據(jù)信息的重要性及保密要求分為不同的密級(jí)，例如***根據(jù)秘密***對(duì)***經(jīng)濟(jì)、安全利益產(chǎn)生的影響（后果）不同，將***秘密分為秘密、***和絕密三個(gè)等級(jí)，***可根據(jù)其信息安全的實(shí)際，在符合《***保密法》的前提下將其信息劃分為不同的密級(jí)；對(duì)于具體的信息的保密性有時(shí)效性，如秘密到期***等。

 

    •  完整性：為保護(hù)信息及其處理方法的準(zhǔn)確性和完整性。

    信息完整性一方面是指信息在利用、傳輸、貯存等過程中不被篡改、丟失、缺損等，另一方面是指信息處理的方法的正確性。不正當(dāng)?shù)牟僮鳎缯`刪除文件，有可能造成重要文件的丟失。

 

    •  可用性：為保障***使用人在需要時(shí)可以獲取信息和使用相關(guān)的資產(chǎn)。

    信息的可用性是指信息及相關(guān)的信息資產(chǎn)在***人需要的時(shí)候，可以立即獲得。例如通信線路中斷故障會(huì)造成信息的在一段時(shí)間內(nèi)不可用，影響正常的商業(yè)運(yùn)作，這是信息可用性的***。不同類型的信息及相應(yīng)資產(chǎn)的信息安全在保密性、完整性及可用性方面關(guān)注點(diǎn)不同，如***的專有技術(shù)、市場營銷計(jì)劃等商業(yè)秘密對(duì)***來講保守***尤其重要；而對(duì)于工業(yè)自動(dòng)控制系統(tǒng)，控制信息的完整性相對(duì)其保密性重要得多。

 

    為什么需要信息安全？

 

    信息、信息處理過程及對(duì)信息起支持作用的信息系統(tǒng)和信息網(wǎng)絡(luò)都是重要的商務(wù)資產(chǎn)。信息的保密性、完整性和可用性對(duì)保持競爭優(yōu)勢、資金流動(dòng)、效益、***符合性和商業(yè)形象都是至關(guān)重要的。然而，越來越多的***及其信息系統(tǒng)和網(wǎng)絡(luò)面臨著包括計(jì)算機(jī)***、***、蓄意***、火災(zāi)、水災(zāi)等大范圍的安全威脅，諸如計(jì)算機(jī)病毒、計(jì)算機(jī)***、 Dos 攻擊等手段造成的信息災(zāi)難已變得更加普遍 , 有計(jì)劃而不易被察覺。***對(duì)信息系統(tǒng)和信息服務(wù)的依賴意味著更易受到安全威脅的***，公共和私人網(wǎng)絡(luò)的互連及信息資源的共享增大了實(shí)現(xiàn)訪問控制的難度。許多信息系統(tǒng)本身就不是按照安全系統(tǒng)的要求來設(shè)計(jì)的，所以僅依靠技術(shù)手段來實(shí)現(xiàn)信息安全有其局限性，所以信息安全的實(shí)現(xiàn)必須得到管理和程序控制的適當(dāng)支持。確定應(yīng)采取哪些控制方式則需要周密計(jì)劃，并注意細(xì)節(jié)。信息安全管理至少需要***中的所有雇員的參與，此外還需要供應(yīng)商、顧客或股東的參與和信息安全的***建議。在信息系統(tǒng)設(shè)計(jì)階段就將安全要求和控制一體化考慮，則成本會(huì)更低、效率會(huì)更高。

 

    BS7799的信息管理過程：

        ①確定信息安全管理方針。

        ②確定 I***S( 信息安全管理體系) 的范圍

        ③進(jìn)行風(fēng)險(xiǎn)分析。

        ④選擇控制目標(biāo)并進(jìn)行控制。

        ⑤建立業(yè)務(wù)持續(xù)計(jì)劃。

        ⑥建立并實(shí)施安全管理體系。

 

    建立信息安全管理體系的作用：

    任何***，不論它在信息技術(shù)方面如何努力以及采納如何新的信息安全技術(shù)，實(shí)際上在信息安全管理方面都還存在漏洞，例如：

     •  缺少信息安全管理論壇，安全導(dǎo)向不明確，管理支持不明顯；

 

     •  缺少跨部門的信息安全協(xié)調(diào)機(jī)制；

 

     •  保護(hù)特定資產(chǎn)以及完成特定安全過程的職責(zé)還不明確；

 

     •  雇員信息安全意識(shí)薄弱，缺少防范意識(shí)，外來人員很容易直接進(jìn)入生產(chǎn)和工作場所；

 

     •  ***信息系統(tǒng)管理制度不夠健全；

 

     •  ***信息系統(tǒng)主機(jī)房安全存在隱患，如：防火設(shè)施存在問題，與***品倉庫同處一幢辦公樓等；

 

     •  ***信息系統(tǒng)備份設(shè)備仍有欠缺；

 

     •  ***信息系統(tǒng)安全防范技術(shù)投入欠缺；

 

     •  軟件知識(shí)產(chǎn)權(quán)保護(hù)欠缺；

 

     •  計(jì)算機(jī)房、辦公場所等物理防范措施欠缺；

 

     •  檔案、記錄等缺少可靠貯存場所；

 

     •  缺少一旦發(fā)生意外時(shí)的保證生產(chǎn)經(jīng)營連續(xù)性的措施和計(jì)劃；

 

    ……等等。

  

    其實(shí)，***可以參照信息安全管理模型，按照***的信息安全管理標(biāo)準(zhǔn) BS7799 標(biāo)準(zhǔn)建立***完整的信息安全管理體系并實(shí)施與保持，達(dá)到動(dòng)態(tài)的、系統(tǒng)的、全員參與、制度化的、以預(yù)防為主的信息安全管理方式，用***低的成本，達(dá)到可接受的信息安全水平，就可以從根本上保證業(yè)務(wù)的連續(xù)性。***建立、實(shí)施與保持信息安全管理體系將會(huì)產(chǎn)生如下作用：

     •  強(qiáng)化員工的信息安全意識(shí)，規(guī)范***信息安全行為；

 

     •  對(duì)***的關(guān)鍵信息資產(chǎn)進(jìn)行***系統(tǒng)的保護(hù)，維持競爭優(yōu)勢；

 

     •  在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開展并將損失降到***低程度；

 

     •  使***的生意伙伴和客戶對(duì)***充滿信心；

 

     •  如果通過體系認(rèn)證，表明體系符合標(biāo)準(zhǔn)，證明***有能力保障重要信息，提高***的知名度與信任度；

 

     •  促使管理層堅(jiān)持貫徹信息安全保障體系。

 

    BS7799標(biāo)準(zhǔn)概述：

     •  1995 年，英國貿(mào)工部根據(jù)英國國內(nèi)企業(yè)對(duì)信息安全日益高漲的呼聲，***大企業(yè)的信息安全經(jīng)理們，制定了世界上***個(gè)信息安全管理體系標(biāo)準(zhǔn) BS7799-1 ： 1995 《信息安全管理實(shí)施規(guī)則》，作為工商業(yè)和大、中、小型***實(shí)施信息安全管理的指南。由于該標(biāo)準(zhǔn)采用建議和指導(dǎo)方式編寫，因而不宜作為認(rèn)證標(biāo)準(zhǔn)使用。

 

     •  1998 年，為了適應(yīng)第三方認(rèn)證的需要，英國又制定了***個(gè)信息安全管理體系認(rèn)證標(biāo)準(zhǔn) --BS7799-2 ： 1998 《信息安全管理體系規(guī)范》，作為對(duì)一個(gè)***的***或部分信息安全管理體系進(jìn)行評(píng)審認(rèn)證的依據(jù)標(biāo)準(zhǔn)。

 

     •  1999 年，鑒于計(jì)算機(jī)和信息處理技術(shù)，尤其是網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的迅速發(fā)展，英國又對(duì)信息安全管理體系標(biāo)準(zhǔn)進(jìn)行了修訂。修訂后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分別取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修訂的 1999 版標(biāo)準(zhǔn)進(jìn)一步強(qiáng)調(diào)了***在商務(wù)工作中所涉及的信息安全和信息安全責(zé)任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一對(duì)配套標(biāo)準(zhǔn)， BS7799-1 ： 1999 為如何建立和實(shí)施符合 BS7799-2 ： 1999 標(biāo)準(zhǔn)要求的信息安全管理體系提供了***佳的應(yīng)用建議。

 

     •  2000 年 12 月， BS7799-1 ： 1999 已經(jīng)被 ISO/IEC 正式采納成為國際標(biāo)準(zhǔn) -- ISO/IEC 17799 ： 2000 《信息技術(shù)—信息安全管理實(shí)施規(guī)則》，另外， BS7799-2 ： 1999 也即將于 2002 年底被 ISO/IEC 作為藍(lán)本修訂后成為可用于認(rèn)證的 ISO/IEC 的《信息安全管理體系規(guī)范》。

 

    信息安全認(rèn)證是實(shí)現(xiàn)信息安全目標(biāo)的***佳途徑：

 

    BS7799-2：2002信息安全管理體系規(guī)范向***提出了一系列認(rèn)證的要求，在總則中提出***應(yīng)建立并保持一個(gè)文件化的信息安全管理體系，闡述被保護(hù)的資產(chǎn)、***風(fēng)險(xiǎn)管理的渠道、控制目標(biāo)及控制方式和需要的保證等級(jí)；通過建立管理架構(gòu)并加以實(shí)施來達(dá)到識(shí)別控制目標(biāo)和控制方式，并形成文件和記錄。

 

    BS7799-2：2002的控制細(xì)則包括10個(gè)方面： 　

     •  安全方針：為信息安全提供管理指導(dǎo)和支持；

 

     •  ***安全：建立信息安全架構(gòu)，保證***的內(nèi)部管理；被第三方訪問或外協(xié)時(shí)，保障***的信息安全；

 

     •  資產(chǎn)的歸類與控制：明確資產(chǎn)責(zé)任，保持對(duì)***資產(chǎn)的適當(dāng)保護(hù)；將信息進(jìn)行歸類，確保信息資產(chǎn)受到適當(dāng)程度的保護(hù)；

 

     •  人員安全：在工作說明和資源方面，減少因人為錯(cuò)誤、***、欺詐和設(shè)施誤用造成的風(fēng)險(xiǎn)；加強(qiáng)用戶培訓(xùn)，確保用戶清楚知道信息安全的***性和相關(guān)事項(xiàng)，以便在他們的日常工作中支持***的安全方針；制定安全事故或故障的反應(yīng)程序，減少由安全事故和故障造成的損失，監(jiān)控安全事件并從這種事件中吸取教訓(xùn)；

 

     •  實(shí)物與環(huán)境安全：確定安全區(qū)域，防止非***訪問、***、干擾商務(wù)場所和信息；通過保障設(shè)備安全，防止資產(chǎn)的丟失、***、資產(chǎn)危害及商務(wù)活動(dòng)的中斷；采用通用的控制方式，防止信息或信息處理設(shè)施損壞或失竊；

 

     •  通信和操作方式管理：明確操作程序及其責(zé)任，確保信息處理設(shè)施的正確、安全操作；加強(qiáng)系統(tǒng)策劃與驗(yàn)收，減少系統(tǒng)失效風(fēng)險(xiǎn)；防范惡意軟件以保持軟件和信息的完整性；加強(qiáng)內(nèi)務(wù)管理以保持信息處理和通訊服務(wù)的完整性和有效性通過 ; 加強(qiáng)網(wǎng)絡(luò)管理確保網(wǎng)絡(luò)中的信息安全及其輔助設(shè)施受到保護(hù)；通過保護(hù)媒體處理的安全 , 防止資產(chǎn)損壞和商務(wù)活動(dòng)的中斷；加強(qiáng)信息和軟件的交換的管理，防止***間在交換信息時(shí)發(fā)生丟失、更改和誤用；

 

     •  訪問控制：按照訪問控制的商務(wù)要求，控制信息訪問；加強(qiáng)用戶訪問管理，防止非***訪問信息系統(tǒng)；明確用戶職責(zé)，防止非***的用戶訪問；加強(qiáng)網(wǎng)絡(luò)訪問控制，保護(hù)網(wǎng)絡(luò)服務(wù)程序；加強(qiáng)操作系統(tǒng)訪問控制 , 防止非***的計(jì)算機(jī)訪問；加強(qiáng)應(yīng)用訪問控制，防止非***訪問系統(tǒng)中的信息；通過監(jiān)控系統(tǒng)的訪問與使用，監(jiān)測非***行為；在移動(dòng)式計(jì)算和電傳工作方面 , 確保使用移動(dòng)式計(jì)算和電傳工作設(shè)施的信息安全；

 

     •  系統(tǒng)開發(fā)與維護(hù)：明確系統(tǒng)安全要求，確保安全性已構(gòu)成信息系統(tǒng)的一部份；加強(qiáng)應(yīng)用系統(tǒng)的安全，防止應(yīng)用系統(tǒng)用戶數(shù)據(jù)的丟失、被修改或誤用；加強(qiáng)密碼技術(shù)控制，保護(hù)信息的保密性、可靠性或完整性；加強(qiáng)系統(tǒng)文件的安全，確保 IT 方案及其支持活動(dòng)以安全的方式進(jìn)行；加***發(fā)和支持過程的安全，確保應(yīng)用系統(tǒng)軟件和信息的安全；

 

     •  商務(wù)連續(xù)性管理：防止商務(wù)活動(dòng)的中斷及保護(hù)關(guān)鍵商務(wù)過程不受重大失誤或?yàn)?zāi)難事故的影響；

 

     •  符合：符合******要求，避免***、***、有關(guān)法令***或合同約定事宜及其他安全要求的規(guī)定相抵觸；加強(qiáng)安全方針和技術(shù)符合性評(píng)審，確保體系按照***的安全方針及標(biāo)準(zhǔn)執(zhí)行；系統(tǒng)審核考慮因素，使效果***大化 , 并使系統(tǒng)審核過程的影響***小化。 　

 

    在國際標(biāo)準(zhǔn) ISO/IEC17799 給出了為實(shí)現(xiàn)信息安全認(rèn)證所需的各項(xiàng)措施的詳細(xì)指導(dǎo)，具有很強(qiáng)的可操作性和指導(dǎo)性。

 

    歸根結(jié)底，信息安全工作的目的就是在***、***、政策的支持與指導(dǎo)下，通過采用合適的安全技術(shù)與安全管理措施，提供安全需求的保證，而 BS7799 信息安全認(rèn)證標(biāo)準(zhǔn)正是總和了這些要求。***可以根據(jù)自身特點(diǎn)，在 ISO/IEC 17799 指導(dǎo)下，實(shí)現(xiàn)信息安全的要求。

 

    ISO27001：2005 《信息安全管理體系要求》

  

    ISO27001 ： 2005 《信息安全管理體系要求》是關(guān)于信息安全管理的標(biāo)準(zhǔn)，是標(biāo)準(zhǔn)不是方法，達(dá)到這些標(biāo)準(zhǔn)的要求并不難，重要的是用什么方法去實(shí)現(xiàn)。企業(yè)應(yīng)將實(shí)施標(biāo)準(zhǔn)作為***改善內(nèi)部管理的一次機(jī)會(huì)，不應(yīng)該將標(biāo)準(zhǔn)做為一種簡單的模式對(duì)現(xiàn)有流程運(yùn)作進(jìn)行套用，應(yīng)對(duì)現(xiàn)有的***運(yùn)作流程進(jìn)行詳細(xì)分析，有針對(duì)性地設(shè)計(jì)并改善現(xiàn)有管理體系、改善薄弱環(huán)節(jié)、改善運(yùn)作流程及內(nèi)部溝通，并有效地將***的管理思想融合到具體的實(shí)施程序中，才能發(fā)揮標(biāo)準(zhǔn)的真正作用。

    

獲得認(rèn)證證書不是***終目的，建立有責(zé)、有序、有效、***的信息安全管理體系，提高員工的信息安全意識(shí)，不斷獲取并運(yùn)用***的管理方法和技術(shù)手段才能使企業(yè)的信息安全管理水平得以持續(xù)的發(fā)展和提升。

深圳市億杰企業(yè)管理咨詢有限公司

歡迎您的來電咨詢

13692285460（劉小姐）