ISO27001認證
ISO27000系列标準相關知(zhī)識
信息是組織的血液,存在的方式各異。可以是打印,手寫,也(yě)可以是電子,演示和(hé)口述的。當今商業競争日趨激烈,來(lái)源于不同渠道(dào)的信息,威脅到(dào)信息的一緻性。它們來(lái)自(zì)内部,外(wài)部,意外(wài)的,還可能(néng)是惡意的。 随着信息儲存,發送新技術的廣泛使用(yòng),我們面臨的各種風(fēng)險也(yě)在增高(gāo)。信息安全越來(lái)越重要!信息安全不是有一個終端防火牆,或找一個24小(xiǎo)時(shí)提供信息安全服務的公司就可以達到(dào)的。它需要全面的綜合管理(lǐ)。信息安全管理(lǐ)體系的引入,可以協調各個方面信息管理(lǐ),使管理(lǐ)更爲有效。信息安全管理(lǐ)體系是系統的對(duì)組織敏感信息及信息資産進行管理(lǐ),涉及到(dào)人,程序和(hé)信息科技(IT)系統。需要建立廣泛的信息安全方針。保證安全性,公正性。适用(yòng)組織内部和(hé)客戶。信息安全管理(lǐ)體系ISMS正成爲世界上(shàng)管理(lǐ)體系标準銷售增長量最大(dà)的産品。
信息安全管理(lǐ)體系(Information security management systems,簡稱ISMS)(即ISO/IEC 27000系列)是目前國際信息安全管理(lǐ)标準研究的重點。
ISO27000 系列共包括10個标準,當前已經發布和(hé)在研究的有6個,分别爲:
1、ISO/IEC 27000《信息安全管理(lǐ)體系 基礎和(hé)詞彙》;
2、ISO/IEC 27001:2013《信息安全管理(lǐ)體系 要求》;
3、ISO/IEC 17799:2005《信息安全管理(lǐ)實用(yòng)規則》(2007年4月後,編号将改爲27002);
4、ISO/IEC 27003《信息安全管理(lǐ)體系實施指南》;
5、ISO/IEC 27004《信息安全管理(lǐ)測量》;
6、ISO/IEC 27005《信息安全風(fēng)險管理(lǐ)》。
一、什(shén)麽是信息安全?像其他(tā)重要業務資産一樣,信息也(yě)是對(duì)組織業務至關重要的一種資産,因此需要加以适當地保護。在業務環境互連日益增加的情況下(xià)這(zhè)一點顯得尤爲重要。這(zhè)種互連性的增加導緻信息暴露于日益增多的、範圍越來(lái)越廣的威脅和(hé)脆弱性當中(也(yě)可參考關于信息系統和(hé)網絡的安全的OECD指南)。信息可以以多種形式存在。它可以打印或寫在紙(zhǐ)上(shàng)、以電子方式存儲、用(yòng)郵寄或電子手段傳送、呈現(xiàn)在膠片上(shàng)或用(yòng)語言表達。無論信息以什(shén)麽形式存在,用(yòng)哪種方法存儲或共享,都應對(duì)它進行适當地保護。信息安全是保護信息免受各種威脅的損害,以确保業務連續性,業務風(fēng)險最小(xiǎo)化,投資回報(bào)和(hé)商業機遇最大(dà)化。信息安全是通過實施一組合适的控制措施而達到(dào)的,包括策略、過程、規程、組織結構以及軟件和(hé)硬件功能(néng)。在需要時(shí)需建立、實施、監視(shì)、評審和(hé)改進這(zhè)些(xiē)控制措施,以确保滿足該組織的特定安全和(hé)業務目标。這(zhè)個過程應與其他(tā)業務管理(lǐ)過程聯合進行。
二、爲什(shén)麽需要信息安全?信息及其支持過程、系統和(hé)網絡都是重要的業務資産。定義、實現(xiàn)、保持和(hé)改進信息安全對(duì)保持競争優勢、現(xiàn)金(jīn)周轉、赢利、守法和(hé)商業形象可能(néng)是至關重要的。各組織及其信息系統和(hé)網絡面臨來(lái)自(zì)各個方面的安全威脅,包括計(jì)算(suàn)機輔助欺詐、間諜活動、惡意破壞、毀壞行爲、火災或洪水(shuǐ)。諸如惡意代碼、計(jì)算(suàn)機黑客搗亂和(hé)拒絕服務攻擊等導緻破壞的安全威脅,已經變得更加普遍、更有野心和(hé)日益複雜(zá)。信息安全對(duì)于公共和(hé)專用(yòng)兩部分的業務以及保護關鍵基礎設施是非常重要的。在這(zhè)兩部分中信息安全都将作(zuò)爲一個使動者,例如實現(xiàn)電子政務或電子商務,避免或減少相關風(fēng)險。公共網絡和(hé)專用(yòng)網絡的互連、信息資源的共享都增加了(le)實現(xiàn)訪問控制的難度。分布式計(jì)算(suàn)的趨勢也(yě)削弱了(le)集中的、專門(mén)控制的有效性。許多信息系統并沒有被設計(jì)成是安全的。通過技術手段可獲得的安全性是有限的,應該通過适當的管理(lǐ)和(hé)規程給予支持。确定哪些(xiē)控制措施要實施到(dào)位需要仔細規劃并注意細節。信息安全管理(lǐ)至少需要該組織内的所有員工(gōng)參與,還可能(néng)要求利益相關人、供應商、第三方、顧客或其他(tā)外(wài)部團體的參與。外(wài)部組織的顧問、專家建議(yì)可能(néng)也(yě)是需要的。
三、 如何建立安全要求組織識别出其安全要求是非常重要的,安全要求有三個主要來(lái)源:
1、一個來(lái)源是在考慮組織整體業務戰略和(hé)目标的情況下(xià),評估該組織的風(fēng)險所獲得的。通過風(fēng)險評估,識别資産受到(dào)的威脅,評價易受威脅利用(yòng)的脆弱性和(hé)威脅發生的可能(néng)性,估計(jì)潛在的影響。
2、另一個來(lái)源是組織、貿易夥伴、合同方和(hé)服務提供者必須滿足的法律、法規、規章和(hé)合同要求,以及他(tā)們的社會(huì)文(wén)化環境。
3、第三個來(lái)源是組織開(kāi)發的支持其運行的信息處理(lǐ)的原則、目标和(hé)業務要求的特定集合。
四、評估安全風(fēng)險安全要求是通過對(duì)安全風(fēng)險的系統評估予以識别的。用(yòng)于控制措施的支出需要針對(duì)可能(néng)由安全故障導緻的業務損害加以平衡。風(fēng)險評估的結果将幫助指導和(hé)決定适當的管理(lǐ)行動、管理(lǐ)信息安全風(fēng)險的優先級以及實現(xiàn)所選擇的用(yòng)以防範這(zhè)些(xiē)風(fēng)險的控制措施。風(fēng)險評估應定期進行,以應對(duì)可能(néng)影響風(fēng)險評估結果的任何變化。
五、選擇控制措施一旦安全要求和(hé)風(fēng)險已被識别并已做出風(fēng)險處理(lǐ)決定,則應選擇并實現(xiàn)合适的控制措施,以确保風(fēng)險降低(dī)到(dào)可接受的級别。控制措施可以從(cóng)《信息安全管理(lǐ)适用(yòng)規則》或其他(tā)控制措施集合中選擇,或者當合适時(shí)設計(jì)新的控制措施以滿足特定需求。安全控制措施的選擇依賴于組織所做出的決定,該決定是基于組織所應用(yòng)的風(fēng)險接受準則、風(fēng)險處理(lǐ)選項和(hé)通用(yòng)的風(fēng)險管理(lǐ)方法,同時(shí)還要遵守所有相關的國家和(hé)國際法律法規。《信息安全管理(lǐ)适用(yòng)規則》中的某些(xiē)控制措施可被當作(zuò)信息安全管理(lǐ)的指導原則,并且可用(yòng)于大(dà)多數組織。