ISO27001認證
信息安全管理(lǐ)體系簡介
1、什(shén)麽是信息安全
信息安全是一個廣泛而抽象的概念,不同領域不同方面對(duì)其概念的闡述都會(huì)有所不同。建立在網絡基礎之上(shàng)的現(xiàn)代信息系統,其安全定義較爲明(míng)确,那就是:保護信息系統的硬件、軟件及相關數據,使之不因爲偶然或者惡意侵犯而遭受破壞、更改及洩露,保證信息系統能(néng)夠連續、可靠、正常地運行。在商業和(hé)經濟領域,信息安全主要強調的是消減并控制風(fēng)險,保持業務運營的連續性,并将風(fēng)險造成的損失和(hé)影響降低(dī)到(dào)最低(dī)程度。
信息作(zuò)爲一種資産,是企業或組織進行正常業務運作(zuò)和(hé)管理(lǐ)不可或缺的資源。從(cóng)最高(gāo)層次來(lái)講,信息安全關系到(dào)國家的安全;對(duì)組織機構來(lái)說,信息安全關系到(dào)業務正常運作(zuò)和(hé)持續發展;對(duì)一個企業來(lái)說,生存發展是頭等大(dà)事(shì),而企業的生存和(hé)發展,有賴于企業所特有的各項業務活動的健康有序的進行,對(duì)現(xiàn)代企業來(lái)說,高(gāo)度信息化是必然之道(dào),是企業一切業務、管理(lǐ)和(hé)運作(zuò)活動所依賴的基礎之一;就個人而言,信息安全是保護個人隐私和(hé)财産的必然要求。無論是個人、組織還是國家,保持關鍵的信息資産的安全性都是非常重要的。信息安全的任務,就是要采取措施(技術手段及有效管理(lǐ))讓這(zhè)些(xiē)信息資産免遭威脅,或者将威脅帶來(lái)的後果降到(dào)最低(dī)程度,以此維護組織的正常運作(zuò)。
總的來(lái)說,凡是涉及到(dào)保密性、完整性、可用(yòng)性、可追溯性、真實性和(hé)可靠性保護等方面的技術和(hé)理(lǐ)論,都是信息安全所要研究的範疇,也(yě)是信息安全所要實現(xiàn)的目标。
2、什(shén)麽是信息安全管理(lǐ)體系
信息安全管理(lǐ)體系(Information Security Management System,簡稱ISMS)是組織整體管理(lǐ)體系的一個部分,是組織在整體或特定範圍内建立信息安全方針和(hé)目标,以及完成這(zhè)些(xiē)目标所用(yòng)方法的體系。基于對(duì)業務風(fēng)險的認識,ISMS 包括建立、實施、操作(zuò)、監視(shì)、複查、維護和(hé)改進信息安全等一系列的管理(lǐ)活動,并且表現(xiàn)爲組織結構、策略方針、計(jì)劃活動、目标與原則、人員與責任、過程與方法、資源等諸多要素的集合。
ISO/IEC27001:2005 就是建立和(hé)維護信息安全管理(lǐ)體系的标準,是國際最具權威的适用(yòng)于各類組織的信息安全整體解決方案,它要求通過PDCA過程來(lái)建立ISMS 框架:确定體系範圍,制定信息安全策略,明(míng)确管理(lǐ)職責,通過風(fēng)險評估确定控制目标和(hé)控制方式。體系一旦建立,組織應該實施、維護和(hé)持續改進ISMS,保持體系運作(zuò)的有效性。同時(shí),ISO/IEC27001:2005也(yě)非常強調信息安全管理(lǐ)過程中文(wén)件化的工(gōng)作(zuò),ISMS 的文(wén)件體系應該包括安全策略、适用(yòng)性聲明(míng)(選擇與未選擇的控制目标和(hé)控制措施)、實施安全控制所需的程序文(wén)件、ISMS 控制和(hé)操作(zuò)程序,以及組織圍繞ISMS 開(kāi)展的所有活動的證明(míng)材料。除此之外(wài),它還提供了(le)國際上(shàng)知(zhī)名企業在信息安全方面的133個良好(hǎo)實踐慣例,通過對(duì)組織中涉及信息安全的11大(dà)領域實施這(zhè)133個控制措施來(lái)達到(dào)涵蓋整個組織信息安全的39個控制目标,從(cóng)而實現(xiàn)整個組織的業務持續發展戰略。
3、爲什(shén)麽要建立信息安全管理(lǐ)體系
随着信息技術的高(gāo)速發展,特别是Internet的迅速普及和(hé)電子政務、電子商務的興起,許多信息安全的問題也(yě)紛紛出現(xiàn):系統癱瘓、黑客入侵、病毒感染、網絡釣魚、網頁篡改、企業或機構資料與商業秘密洩露、核心技術被竊等等。這(zhè)些(xiē)信息安全問題給組織的經營管理(lǐ)、業務持續發展甚至生存都帶來(lái)嚴重的影響。
去年6月,公安部對(duì)2006年度信息網絡安全狀況的調查結果顯示,一些(xiē)單位信息安全事(shì)件處置方法和(hé)手段單一,防範措施不完善,網絡安全管理(lǐ)人員不足、專業素質有待提高(gāo),被調查單位信息安全管理(lǐ)水(shuǐ)平整體上(shàng)仍滞後于信息化發展要求,我國計(jì)算(suàn)機病毒本土化制作(zuò)、傳播的趨勢更加明(míng)顯。
網絡安全事(shì)件調查顯示,2005年5月至2006年5月,54%的被調查單位發生過信息網絡安全事(shì)件,其中發生過3次以上(shàng)的占22%,比去年上(shàng)升7%。感染計(jì)算(suàn)機病毒、蠕蟲和(hé)木(mù)馬程序仍然是最突出的網絡安全情況,占發生安全事(shì)件總數的84%;“遭到(dào)端口掃描或網絡攻擊”(36%)和(hé)“垃圾郵件”(35%)次之。金(jīn)融證券行業發生網絡安全事(shì)件的比例最低(dī),商業貿易、制造業、廣電和(hé)新聞、教育科研、互聯網和(hé)信息技術等行業發生網絡安全事(shì)件的比例較高(gāo)。在發生的安全事(shì)件中,攻擊或傳播源來(lái)自(zì)外(wài)部的占50%;内外(wài)部均有的占34.5%,比去年上(shàng)升10.5%。發現(xiàn)安全事(shì)件的途徑主要是網絡(系統)管理(lǐ)員通過技術監測發現(xiàn),占54%;其次是通過安全産品報(bào)警發現(xiàn),占46%;事(shì)後分析發現(xiàn)的占35%;未修補或防範軟件漏洞仍然是導緻安全事(shì)件發生的最主要原因(73%)。
信息安全管理(lǐ)方面的調查顯示,83%的被調查單位設立了(le)專職或兼職安全管理(lǐ)人員,11%的單位建立了(le)安全組織。44%的被調查單位采購了(le)信息安全服務,主要采購的服務有系統維護(79%)、安全檢測(60%),其次是容災備份與恢複(39%)、應急響應(31%)、信息安全咨詢(25%)。在采取安全管理(lǐ)和(hé)技術措施方面,68%的單位進行存儲備份,67%進行口令加密和(hé)訪問控制,56%制定了(le)安全管理(lǐ)規章制度;近八成的被調查單位使用(yòng)了(le)防火牆和(hé)計(jì)算(suàn)機病毒防治産品,其中防火牆産品中,73%的是國内産品;計(jì)算(suàn)機病毒防治産品中,79%的是國内産品。
計(jì)算(suàn)機病毒調查顯示,2006年計(jì)算(suàn)機病毒感染率爲74%;多次感染病毒的比率爲52%,5、6月份出現(xiàn)了(le)“敲詐者”木(mù)馬等盜取網上(shàng)用(yòng)戶密碼的計(jì)算(suàn)機病毒。計(jì)算(suàn)機病毒制造、傳播者利用(yòng)病毒盜取QQ帳号、網絡遊戲帳号和(hé)網絡遊戲裝備,網上(shàng)販賣計(jì)算(suàn)機病毒,非法牟利的活動日益增多。計(jì)算(suàn)機病毒發作(zuò)造成損失的比例爲62%。浏覽器配置被修改、數據受損或丢失、系統使用(yòng)受限、網絡無法使用(yòng)、密碼被盜是計(jì)算(suàn)機病毒造成的主要破壞後果;網絡浏覽或下(xià)載仍是感染計(jì)算(suàn)機病毒最多的途徑,通過優盤等移動存儲介質傳播病毒的比率明(míng)顯增加。
據統計(jì),各種安全威脅對(duì)企業信息安全的影響指數是:特洛伊木(mù)馬、病毒、蠕蟲以及惡意代碼(無關源程序)占50%,間諜軟件占45%,垃圾軟件占44%,員工(gōng)失誤(無心的)占39%,應用(yòng)程序漏洞占37%,數據被員工(gōng)或商業合作(zuò)夥伴竊取占27%,黑客占36%,内部人員蓄意損壞占30%,無線LANs占30%,新技術的部署(如無線LANs,遠程訪問) 占27%,商業合作(zuò)夥伴的失誤(無心的) 占24%,不屬競争對(duì)手和(hé)網絡恐怖主義範疇的無意入侵者、員工(gōng)或合作(zuò)夥伴占20%,網絡恐怖主義占19%,不能(néng)遵循政府調整命令占16%,競争者派來(lái)的間諜占15%。
統計(jì)數據表明(míng),在所有的信息安全事(shì)件中,人爲因素占52%,自(zì)然災害占 25% ,技術錯誤占10%,組織内部人員作(zuò)案占10%,僅有3%左右是由外(wài)部不法人員的攻擊造成。屬于管理(lǐ)方面的原因比重高(gāo)達70%以上(shàng), 而這(zhè)些(xiē)安全問題中的95%是可以通過科學的信息安全管理(lǐ)來(lái)避免。如果企業或機構有一套系統全面的信息安全管理(lǐ)制度,并在企業或機構内部得到(dào)宣貫,90%的信息安全威脅都是可以避免的。