午夜在视频免费在线观看-日韩人妻人妻人妻av-碰超免费人妻中文字幕-国产亚洲精品自拍欧美

廣東凱納德企業(yè)管理咨詢有限公司Guangdong Kainaide Enterprise Management Consulting Co., Ltd.

全國咨詢熱線0757-83836955
?
ISO27001信息安全認(rèn)證
什么是信息安全ISO27001
發(fā)表于2019-08-20 11:44 瀏覽:
文章導(dǎo)讀:信息安全 (Information security): 是指信息的保密性 (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。 ? 保密性:為保障信息僅僅為那些被授權(quán)使用的人獲取。 信息的保密性是...

信息安全 (Information security): 是指信息的保密性 (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。

        ?  保密性:為保障信息僅僅為那些被授權(quán)使用的人獲取。
        信息的保密性是針對信息被允許訪問( Access )對象的多少而不同,所有人員都可以訪問的信息為公開信息,需要限制訪問的信息一般為敏感信息或秘密,秘密可以根據(jù)信息的重要性及保密要求分為不同的密級,例如國家根據(jù)秘密泄露對國家經(jīng)濟、安全利益產(chǎn)生的影響(后果)不同,將國家秘密分為秘密、機密和絕密三個等級,組織可根據(jù)其信息安全的實際,在符合《國家保密法》的前提下將其信息劃分為不同的密級;對于具體的信息的保密性有時效性,如秘密到期解密等。
 
        ?  完整性:為保護信息及其處理方法的準(zhǔn)確性和完整性。
        信息完整性一方面是指信息在利用、傳輸、貯存等過程中不被篡改、丟失、缺損等,另一方面是指信息處理的方法的正確性。不正當(dāng)?shù)牟僮鳎缯`刪除文件,有可能造成重要文件的丟失。
 
        ?  可用性:為保障授權(quán)使用人在需要時可以獲取信息和使用相關(guān)的資產(chǎn)。
        信息的可用性是指信息及相關(guān)的信息資產(chǎn)在授權(quán)人需要的時候,可以立即獲得。例如通信線路中斷故障會造成信息的在一段時間內(nèi)不可用,影響正常的商業(yè)運作,這是信息可用性的破壞。不同類型的信息及相應(yīng)資產(chǎn)的信息安全在保密性、完整性及可用性方面關(guān)注點不同,如組織的專有技術(shù)、市場營銷計劃等商業(yè)秘密對組織來講保守機密尤其重要;而對于工業(yè)自動控制系統(tǒng),控制信息的完整性相對其保密性重要得多。
 
        為什么需要信息安全?
 
        信息、信息處理過程及對信息起支持作用的信息系統(tǒng)和信息網(wǎng)絡(luò)都是重要的商務(wù)資產(chǎn)。信息的保密性、完整性和可用性對保持競爭優(yōu)勢、資金流動、效益、法律符合性和商業(yè)形象都是至關(guān)重要的。然而,越來越多的組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨著包括計算機詐騙、間諜、蓄意破壞、火災(zāi)、水災(zāi)等大范圍的安全威脅,諸如計算機病毒、計算機入侵、 Dos 攻擊等手段造成的信息災(zāi)難已變得更加普遍 , 有計劃而不易被察覺。組織對信息系統(tǒng)和信息服務(wù)的依賴意味著更易受到安全威脅的破壞,公共和私人網(wǎng)絡(luò)的互連及信息資源的共享增大了實現(xiàn)訪問控制的難度。許多信息系統(tǒng)本身就不是按照安全系統(tǒng)的要求來設(shè)計的,所以僅依靠技術(shù)手段來實現(xiàn)信息安全有其局限性,所以信息安全的實現(xiàn)必須得到管理和程序控制的適當(dāng)支持。確定應(yīng)采取哪些控制方式則需要周密計劃,并注意細(xì)節(jié)。信息安全管理至少需要組織中的所有雇員的參與,此外還需要供應(yīng)商、顧客或股東的參與和信息安全的專家建議。在信息系統(tǒng)設(shè)計階段就將安全要求和控制一體化考慮,則成本會更低、效率會更高。
 
        BS7799的信息管理過程:
        ①確定信息安全管理方針。
        ②確定 ISMS( 信息安全管理體系) 的范圍
        ③進行風(fēng)險分析。
        ④選擇控制目標(biāo)并進行控制。
        ⑤建立業(yè)務(wù)持續(xù)計劃。
        ⑥建立并實施安全管理體系。
 
        建立信息安全管理體系的作用:
 
        任何組織,不論它在信息技術(shù)方面如何努力以及采納如何新的信息安全技術(shù),實際上在信息安全管理方面都還存在漏洞,例如:
缺少信息安全管理論壇,安全導(dǎo)向不明確,管理支持不明顯; 
缺少跨部門的信息安全協(xié)調(diào)機制; 
保護特定資產(chǎn)以及完成特定安全過程的職責(zé)還不明確; 
雇員信息安全意識薄弱,缺少防范意識,外來人員很容易直接進入生產(chǎn)和工作場所; 
組織信息系統(tǒng)管理制度不夠健全; 
組織信息系統(tǒng)主機房安全存在隱患,如:防火設(shè)施存在問題,與危險品倉庫同處一幢辦公樓等; 
組織信息系統(tǒng)備份設(shè)備仍有欠缺; 
組織信息系統(tǒng)安全防范技術(shù)投入欠缺; 
軟件知識產(chǎn)權(quán)保護欠缺; 
計算機房、辦公場所等物理防范措施欠缺; 
檔案、記錄等缺少可靠貯存場所; 
缺少一旦發(fā)生意外時的保證生產(chǎn)經(jīng)營連續(xù)性的措施和計劃; 
        ……等等。
   
        其實,組織可以參照信息安全管理模型,按照先進的信息安全管理標(biāo)準(zhǔn) BS7799 標(biāo)準(zhǔn)建立組織完整的信息安全管理體系并實施與保持,達到動態(tài)的、系統(tǒng)的、全員參與、制度化的、以預(yù)防為主的信息安全管理方式,用最低的成本,達到可接受的信息安全水平,就可以從根本上保證業(yè)務(wù)的連續(xù)性。組織建立、實施與保持信息安全管理體系將會產(chǎn)生如下作用:
強化員工的信息安全意識,規(guī)范組織信息安全行為; 
對組織的關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)的保護,維持競爭優(yōu)勢; 
在信息系統(tǒng)受到侵襲時,確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度; 
使組織的生意伙伴和客戶對組織充滿信心; 
如果通過體系認(rèn)證,表明體系符合標(biāo)準(zhǔn),證明組織有能力保障重要信息,提高組織的知名度與信任度; 
促使管理層堅持貫徹信息安全保障體系。 
        BS7799標(biāo)準(zhǔn)概述:
1995 年,英國貿(mào)工部根據(jù)英國國內(nèi)企業(yè)對信息安全日益高漲的呼聲,組織大企業(yè)的信息安全經(jīng)理們,制定了世界上第一個信息安全管理體系標(biāo)準(zhǔn) BS7799-1 : 1995 《信息安全管理實施規(guī)則》,作為工商業(yè)和大、中、小型組織實施信息安全管理的指南。由于該標(biāo)準(zhǔn)采用建議和指導(dǎo)方式編寫,因而不宜作為認(rèn)證標(biāo)準(zhǔn)使用。 
1998 年,為了適應(yīng)第三方認(rèn)證的需要,英國又制定了第一個信息安全管理體系認(rèn)證標(biāo)準(zhǔn) --BS7799-2 : 1998 《信息安全管理體系規(guī)范》,作為對一個組織的全面或部分信息安全管理體系進行評審認(rèn)證的依據(jù)標(biāo)準(zhǔn)。 
1999 年,鑒于計算機和信息處理技術(shù),尤其是網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的迅速發(fā)展,英國又對信息安全管理體系標(biāo)準(zhǔn)進行了修訂。修訂后的 BS7799-1 : 1999 和 BS7799-2 : 1999 分別取代了 BS7799-1 : 1995 和 BS7799-2 : 1998 。新修訂的 1999 版標(biāo)準(zhǔn)進一步強調(diào)了組織在商務(wù)工作中所涉及的信息安全和信息安全責(zé)任。 BS7799-1 : 1999 和 BS7799-2 : 1999 是一對配套標(biāo)準(zhǔn), BS7799-1 : 1999 為如何建立和實施符合 BS7799-2 : 1999 標(biāo)準(zhǔn)要求的信息安全管理體系提供了最佳的應(yīng)用建議。 
2000 年 12 月, BS7799-1 : 1999 已經(jīng)被 ISO/IEC 正式采納成為國際標(biāo)準(zhǔn) -- ISO/IEC 17799 : 2000 《信息技術(shù)—信息安全管理實施規(guī)則》,另外, BS7799-2 : 1999 也即將于 2002 年底被 ISO/IEC 作為藍本修訂后成為可用于認(rèn)證的 ISO/IEC 的《信息安全管理體系規(guī)范》。 
        信息安全認(rèn)證是實現(xiàn)信息安全目標(biāo)的最佳途徑:
        BS7799-2:2002信息安全管理體系規(guī)范向組織提出了一系列認(rèn)證的要求,在總則中提出組織應(yīng)建立并保持一個文件化的信息安全管理體系,闡述被保護的資產(chǎn)、組織風(fēng)險管理的渠道、控制目標(biāo)及控制方式和需要的保證等級;通過建立管理架構(gòu)并加以實施來達到識別控制目標(biāo)和控制方式,并形成文件和記錄。
        BS7799-2:2002的控制細(xì)則包括10個方面:  
安全方針:為信息安全提供管理指導(dǎo)和支持; 
組織安全:建立信息安全架構(gòu),保證組織的內(nèi)部管理;被第三方訪問或外協(xié)時,保障組織的信息安全; 
資產(chǎn)的歸類與控制:明確資產(chǎn)責(zé)任,保持對組織資產(chǎn)的適當(dāng)保護;將信息進行歸類,確保信息資產(chǎn)受到適當(dāng)程度的保護; 
人員安全:在工作說明和資源方面,減少因人為錯誤、盜竊、欺詐和設(shè)施誤用造成的風(fēng)險;加強用戶培訓(xùn),確保用戶清楚知道信息安全的危險性和相關(guān)事項,以便在他們的日常工作中支持組織的安全方針;制定安全事故或故障的反應(yīng)程序,減少由安全事故和故障造成的損失,監(jiān)控安全事件并從這種事件中吸取教訓(xùn); 
實物與環(huán)境安全:確定安全區(qū)域,防止非授權(quán)訪問、破壞、干擾商務(wù)場所和信息;通過保障設(shè)備安全,防止資產(chǎn)的丟失、破壞、資產(chǎn)危害及商務(wù)活動的中斷;采用通用的控制方式,防止信息或信息處理設(shè)施損壞或失竊; 
通信和操作方式管理:明確操作程序及其責(zé)任,確保信息處理設(shè)施的正確、安全操作;加強系統(tǒng)策劃與驗收,減少系統(tǒng)失效風(fēng)險;防范惡意軟件以保持軟件和信息的完整性;加強內(nèi)務(wù)管理以保持信息處理和通訊服務(wù)的完整性和有效性通過 ; 加強網(wǎng)絡(luò)管理確保網(wǎng)絡(luò)中的信息安全及其輔助設(shè)施受到保護;通過保護媒體處理的安全 , 防止資產(chǎn)損壞和商務(wù)活動的中斷;加強信息和軟件的交換的管理,防止組織間在交換信息時發(fā)生丟失、更改和誤用; 
訪問控制:按照訪問控制的商務(wù)要求,控制信息訪問;加強用戶訪問管理,防止非授權(quán)訪問信息系統(tǒng);明確用戶職責(zé),防止非授權(quán)的用戶訪問;加強網(wǎng)絡(luò)訪問控制,保護網(wǎng)絡(luò)服務(wù)程序;加強操作系統(tǒng)訪問控制 , 防止非授權(quán)的計算機訪問;加強應(yīng)用訪問控制,防止非授權(quán)訪問系統(tǒng)中的信息;通過監(jiān)控系統(tǒng)的訪問與使用,監(jiān)測非授權(quán)行為;在移動式計算和電傳工作方面 , 確保使用移動式計算和電傳工作設(shè)施的信息安全; 
系統(tǒng)開發(fā)與維護:明確系統(tǒng)安全要求,確保安全性已構(gòu)成信息系統(tǒng)的一部份;加強應(yīng)用系統(tǒng)的安全,防止應(yīng)用系統(tǒng)用戶數(shù)據(jù)的丟失、被修改或誤用;加強密碼技術(shù)控制,保護信息的保密性、可靠性或完整性;加強系統(tǒng)文件的安全,確保 IT 方案及其支持活動以安全的方式進行;加強開發(fā)和支持過程的安全,確保應(yīng)用系統(tǒng)軟件和信息的安全; 
商務(wù)連續(xù)性管理:防止商務(wù)活動的中斷及保護關(guān)鍵商務(wù)過程不受重大失誤或災(zāi)難事故的影響; 
符合:符合法律法規(guī)要求,避免刑法、民法、有關(guān)法令法規(guī)或合同約定事宜及其他安全要求的規(guī)定相抵觸;加強安全方針和技術(shù)符合性評審,確保體系按照組織的安全方針及標(biāo)準(zhǔn)執(zhí)行;系統(tǒng)審核考慮因素,使效果最大化 , 并使系統(tǒng)審核過程的影響最小化。   
        在國際標(biāo)準(zhǔn) ISO/IEC17799 給出了為實現(xiàn)信息安全認(rèn)證所需的各項措施的詳細(xì)指導(dǎo),具有很強的可操作性和指導(dǎo)性。 
        歸根結(jié)底,信息安全工作的目的就是在法律、法規(guī)、政策的支持與指導(dǎo)下,通過采用合適的安全技術(shù)與安全管理措施,提供安全需求的保證,而 BS7799 信息安全認(rèn)證標(biāo)準(zhǔn)正是總和了這些要求。組織可以根據(jù)自身特點,在 ISO/IEC 17799 指導(dǎo)下,實現(xiàn)信息安全的要求。
        ISO27001:2005 《信息安全管理體系要求》
        ISO27001 : 2005 《信息安全管理體系要求》是關(guān)于信息安全管理的標(biāo)準(zhǔn),是標(biāo)準(zhǔn)不是方法,達到這些標(biāo)準(zhǔn)的要求并不難,重要的是用什么方法去實現(xiàn)。企業(yè)應(yīng)將實施標(biāo)準(zhǔn)作為全面改善內(nèi)部管理的一次機會,不應(yīng)該將標(biāo)準(zhǔn)做為一種簡單的模式對現(xiàn)有流程運作進行套用,應(yīng)對現(xiàn)有的組織運作流程進行詳細(xì)分析,有針對性地設(shè)計并改善現(xiàn)有管理體系、改善薄弱環(huán)節(jié)、改善運作流程及內(nèi)部溝通,并有效地將先進的管理思想融合到具體的實施程序中,才能發(fā)揮標(biāo)準(zhǔn)的真正作用。   
        獲得認(rèn)證證書不是最終目的,建立有責(zé)、有序、有效、高效的信息安全管理體系,提高員工的信息安全意識,不斷獲取并運用先進的管理方法和技術(shù)手段才能使企業(yè)的信息安全管理水平得以持續(xù)的發(fā)展和提升。

返回上一頁
上一篇:  
下一篇:

最新文章
隨機文章
認(rèn)證咨詢
稱呼: *
電話: *

訂單提交后,10分鐘內(nèi),我們將安排工作人員和您聯(lián)系!

聯(lián)系我們

廣東凱納德企業(yè)管理咨詢有限公司
聯(lián)系人:汪先生
熱線:0757-83836955
QQ:530756778
地址:廣東省佛山市南海區(qū)桂城季華東路31號天安中心7座303A

專業(yè)ISO9001認(rèn)證、ISO14001認(rèn)證、ISO45001認(rèn)證、IATF16949認(rèn)證等體系認(rèn)證咨詢機構(gòu)

Copyright ? 廣東凱納德企業(yè)管理咨詢有限公司 版權(quán)所有 粵ICP備19080410號-2

?
在線咨詢
認(rèn)證咨詢
驗廠咨詢
資質(zhì)代辦
項目申報
咨詢熱線
0757-83836955
在线中文字幕亚洲欧美一区| 日本黄色高清视频久久| 日韩日韩欧美国产精品| 久久中文字幕中文字幕中文| 丰满少妇高潮一区二区| 亚洲丁香婷婷久久一区| 伊人色综合久久伊人婷婷| 亚洲成人久久精品国产| 果冻传媒精选麻豆白晶晶 | 熟女中文字幕一区二区三区| 亚洲国产综合久久天堂| 性欧美唯美尤物另类视频| 精品视频一区二区三区不卡| 99热九九在线中文字幕| 嫩呦国产一区二区三区av| 欧美二区视频在线观看| 日韩一级一片内射视频4k| 国产日韩在线一二三区| 国语久精品在视频在线观看| 国产又大又黄又粗的黄色 | 最新69国产精品视频| 午夜精品国产精品久久久| 欧美日韩亚洲国产精品| 国产在线视频好看不卡| 日本国产欧美精品视频| 免费在线观看欧美喷水黄片| 成年人视频日本大香蕉久久| 亚洲中文字幕在线综合视频| 国产精品一区二区三区欧美| 国产91麻豆精品成人区| 欧美日韩国产二三四区| 伊人色综合久久伊人婷婷| 亚洲欧洲在线一区二区三区| 在线播放欧美精品一区| 亚洲av日韩一区二区三区四区| 欧美日韩少妇精品专区性色| 国产亚洲欧美另类久久久| 丝袜视频日本成人午夜视频| 五月综合激情婷婷丁香| 午夜精品黄片在线播放| 亚洲中文字幕视频在线播放|