ISO/IEC27001信息安全管理体系(ISMS-Information Security Management System)标准为企业和单位提供一套管理工具,从而降低了相应的风险,确保企业业务的连续性。推行ISO/IEC27001标准的组织将受益匪浅:由于按照国际标准实施适当的控制措施,组织便能自行将信息保安的失误率降至最低。以系统化的方法处理符合法律的问题,从而降低所需承担的法律责任风险。以系统化的方法计划及管理运营的持续性。增强客户、合作伙伴和相关人士对机构的信心。
ISO27001标准把信息资料看作公司的资产,其对公司的生存与发展起着关键作用,尤其是在知识经济和电子信息时代,确保信息安全更是非常有必要的。ISO27001信息安全管理体系一个重要的方面是对信息风险的分析与管理。信息风险涉及可能造成信息损失的方方面面。比如电脑病毒有导致信息资料丢失或损坏的危险,可规定定期进行电脑病毒的检查;外来人员进入本公司有导致信息资料失窃的危险,可规定采用门口设密码、电子卡等方式进入公司;更新电脑软件有导致资料无法读取的风险,可规定在进行电脑软件的更新时对电脑软件的兼容性进行评估等。
信息安全是通过执行一套适当的控制来达到的。可以是方针、惯例、程序、组织结构和软件功能来实现,这些控制方式需要确定,才能保障组织特定的安全目标的实现。
1.1.4 信息安全管理体系的三大要素
保密性:确保只有经过授权的人才能存取信息。
完整性:维护提供使用的信息为正确与完整的,未受破坏或篡改。
可用性:确保经过授权的用户在需要时可以存取信息并使用相关信息。
总的来说,凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论,都是信息安全所要研究的范畴,也是信息安全所要实现的目标。
1.1.5 信息安全管理体系的主要内容
ISO/IEC27001:2013标准包括11大控制领域,39个控制目标和133项控制措施,为组织提供全方位的信息安全保障。在实施的过程中,组织可以根据企业的实际情况,法律法规合约等因素选择适用的控制措施,也可增加额外的控制措施。
1)安全策略(体现企业对信息安全管理体系的支持与承诺)
2)信息安全组织(建立信息安全管理架构,用于公司内部信息安全的管理和控制)
3)资产管理(确保对组织各项资产的安全进行有效保护)
4)人力资源安全(制订所有人员的安全职责与角色)
5)物理和环境安全(对组织的运营场所做出安全要求)
6)通信和操作管理(完善公司内外的沟通与联系,以利于信息安全管理体系的顺利进行)
7)访问控制(管理信息资产的访问行为)
8)信息系统获取、开发和维护(确保公司的IT项目和相关的支持活动已实施安全控制)
9)信息安全事故管理(通报信息安全事故并采取纠正措施,确保实施有效的信息安全事故管理办法)
10)业务连续性管理(制订企业持续运营计划,保护企业核心业务免受重大灾难的中断与影响)
11)符合性(符合法律法规合约的要求)
1.1.6 信息安全管理体系的主要关注焦点
1)以信息安全风险为关注焦点;
2)以重要资产为关注焦点;
3)以组织部门的职责要求为关注焦点;
4)以信息系统为关注焦点。
1.1.7 实施信息安全管理体系的重要性
信息及其支持过程的系统和网络都是组织的重要资产。信息的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。
任何组织及其信息系统(如组织的ERP系统)和网络都可能面临着包括计算机辅助欺诈、刺探等破坏行为、火灾、水灾等大范围的安全威胁。随着计算机的日益发展和普及,计算机病毒、计算机服务器的非法入侵破坏已变得日益普遍和错综复杂。
有些组织的信息系统尽管在涉及时可能已考虑了安全,但仅仅依靠技术手段实现安全仍然是有限的,还应当通过管理和程序来支持。
组织可以参照信息安全管理模型,按照先进的信息安全管理标准——ISO27001标准建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,使信息风险的发生概率和结果降低到可接受水平,并采取措施保证业务不会因风险的发生而中断。组织建立,实施与保持信息安全管理体系会:
l 强化员工的信息安全意识,规范组织信息安全行为
l 对组织的关键信息资产进行全面系统的保护,维持竞争优势
l 在信息体系受到侵袭时,确保业务持续开展并将损失降到最低程度
l 使组织的生意伙伴和客户对组织充满信心
注册微创客 • 个人创业
服务评价
好评度