ISO27001信息安全管理體係認證

ISO27001是有關信息安全管理的國際標準。最初源於英國標準BS7799,經過十年的不斷改版,終於在2005年被國際標準化組織(ISO)轉化為 正式的國際標準,於2013年10月發布為ISO/IEC 27001:2013。該標準可用於組織的信息安全管理體係的建立和實施,保障組織的信息安全,采用PDCA過程方法,基於風險評估的風險管理理念,全麵 係統地持續改進組織的安全管理。

立即谘詢

概述

ISO27001信息安全管理體係背景介紹
 信息作為組織的重要資產,需要得到妥善保護。但隨著信息技術的高速發展,特別是Internet的問世及網上交易的啟用,許多信息安全的問題也紛紛出現:係統癱瘓、黑客入侵、病毒感染、網頁改寫、客戶資料的流失及公司內部資料的泄露等等,這些已給組織的經營管理、生存甚至國家安全都帶來嚴重的影響。
所以,在享用現代信息係統帶來的快捷、方便的同時,如何充分防範信息的損壞和泄露,已成為當前企業迫切需要解決的問題。
俗話說“三分技術七分管理”。目前組織普遍采用現代通信、計算機、網絡技術來構建組織的信息係統。但大多數組織的最高管理層對信息資產所麵臨的威脅的嚴重性認識不足,缺乏明確的信息安全方針和完整的信息安全管理製度,如係統的運行、維護、開發等崗位不清,職責不分,存在一人身兼數職的現象。這些都是造成信息安全事件的重要原因。缺乏係統的管理思想也是一個重要的問題。所以,我們需要一個係統的、整體規劃的信息安全管理體係,從預防控製的角度出發,以確保組織的信息係統和業務數據的安全性。

為什麽需要信息安全
信息、信息處理過程及對信息起支持作用的信息係統和信息網絡都是重要的商務資產。信息的保密性、完整性和可用性對保持競爭優勢、資金流動、效益、法律符合性和商業形象都是至關重要的。然而,越來越多的組織及其信息係統和網絡麵臨著包括計算機詐騙、間諜、蓄意破壞、火災、水災等大範圍的安全威脅,諸如計算機病毒、計算機入侵、DoS攻擊等手段造成的信息災難已變得更加普遍。組織對信息係統和信息服務的依賴意味著更易受到安全威脅的破壞,公共和私人網絡的互連及信息資源的共享增大了實現訪問控製的難度。許多信息係統本身就不是按照安全係統的要求來設計的,所以僅依靠技術手段來實現信息安全有其局限性,所以信息安全的實現必須得到管理和程序控製的適當支持。確定應采取哪些控製方式則需要周密計劃,並注意細節。信息安全管理至少需要組織中的所有雇員的參與,此外還需要供應商、顧客或股東的參與和信息安全的專家建議。在信息係統設計階段就將安全要求和控製進行一體化考慮,則成本會更低、效率會更高。

ISO27001信息安全管理體係適用範圍
信息安全管理體係適用於所有類型的組織(例如:商業企業、政府機構、非盈利組織),包括但不限於,銀行、證券、保險等金融機構;交通、能源等大型國有企業;互聯網數據中心(IDC)服務提供商;軟件和信息技術服務企業;公共管理、社會保障和社會組織等。

ISO27001標準內容簡介
 目前,在信息安全管理體係方麵,ISO/IEC 27001:2013――信息安全管理體係標準已經成為世界上應用最廣泛與典型的信息安全管理標準。
ISO27001:2013標準包括14個控製域、35個控製目標和113項控製措施,為組織提供全方位的信息安全保障。主要的14個控製域包括:
1、信息安全方針和策略;
2、信息安全組織;
3、人力資源安全;
4、資產管理;
5、訪問控製;
6、密碼;
7、物理和環境安全;
8、操作安全;
9、通信安全;
10、係統獲取、開發和維護;
11、供應商關係;
12、信息安全事件管理;
13、業務連續性管理的信息安全方麵;
14、符合性。

信息安全認證是實現信息安全目標的最佳途徑
信息安全管理體係規範向組織提出了一係列認證的要求,在總則中提出組織應建立並保持一個文件化的信息安全管理體係,闡述被保護的資產、組織風險管理的渠道、控製目標及控製方式和需要的保證等級並加以實施來達到識別控製目標和控製方式,並形成文件和記錄。
在國際標準ISO/IEC 27002給出了為實現信息安全認證所需的各項措施的詳細指導,具有很強的可操作性和指導性。
說到底,信息安全工作的目的就是在法律、法規、政策的支持與指導下,通過采用合適的安全技術與安全管理措施,提供安全需求的保證,而ISO 27001信息安全認證標準正是綜合了這些要求。組織可以根據自身特點,在ISO/IEC 27002指導下,實現信息安全的要求。

ISO27001信息安全管理體係實施意義
● 有一套“量體裁衣”的信息安全管理控製措施和保護信息資產的製度框架
● 形成了高層管理人員與技術負責人進行信息安全溝通的共同語言
● 使組織將IT策略和組織發展方向統一起來,確保與IT相關的風險受到適當的控製
● 通過方針、慣例、程序、組織結構和軟件功能來確定控製方式並實施控製,持續提高組織信息安全管理水平
● 降低信息安全對持續發展造成的風險,利用信息技術為組織創造新的戰略競爭機遇
● 根據控製費用與風險平衡的原則合理選擇安全控製方式
● 使信息風險的發生概率和結果降低到可接受收水平,保持組織業務運作的持續性

:已無文章 :已無文章 返回列表
在線谘詢
劉老師:2215119581
聯係電話

0898-68537439

掃描二維碼關注公眾號