ISO27001認證
ISO27001信息安全咨詢服務介紹
1、背景介紹
信息作(zuò)爲組織的重要資産,需要得到(dào)妥善保護。但(dàn)随着信息技術的高(gāo)速發展,特别是Internet的問世及網上(shàng)交易的啓用(yòng),許多信息安全的問題也(yě)紛紛出現(xiàn):系統癱瘓、黑客入侵、病毒感染、網頁改寫、客戶資料的流失及公司内部資料的洩露等等。這(zhè)些(xiē)已給組織的經營管理(lǐ)、生存甚至國家安全都帶來(lái)嚴重的影響。安全問題所帶來(lái)的損失遠大(dà)于交易的帳面損失,它可分爲三類,包括直接損失、間接損失和(hé)法律損失:
·直接損失:丢失訂單,減少直接收入,損失生産率;
·間接損失: 恢複成本,競争力受損,品牌、聲譽受損,負面的公衆影響,失去未來(lái)的業務機會(huì),影響股票市值或政治聲譽;
·法律損失:法律、法規的制裁,帶來(lái)相關聯的訴訟或追索等。
所以,在享用(yòng)現(xiàn)代信息系統帶來(lái)的快(kuài)捷、方便的同時(shí),如何充分防範信息的損壞和(hé)洩露,已成爲當前企業迫切需要解決的問題。
俗話(huà)說“三分技術七分管理(lǐ)”。目前組織普遍采用(yòng)現(xiàn)代通信、計(jì)算(suàn)機、網絡技術來(lái)構建組織的信息系統。但(dàn)大(dà)多數組織的最高(gāo)管理(lǐ)層對(duì)信息資産所面臨的威脅的嚴重性認識不足,缺乏明(míng)确的信息安全方針、完整的信息安全管理(lǐ)制度、相應的管理(lǐ)措施不到(dào)位,如系統的運行、維護、開(kāi)發等崗位不清,職責不分,存在一人身兼數職的現(xiàn)象。這(zhè)些(xiē)都是造成信息安全事(shì)件的重要原因。缺乏系統的管理(lǐ)思想也(yě)是一個重要的問題。所以,我們需要一個系統的、整體規劃的信息安全管理(lǐ)體系,從(cóng)預防控制的角度出發,保障組織的信息系統與業務之安全與正常運作(zuò)。
2、标準發展曆史
目前,在信息安全管理(lǐ)體系方面,ISO/IEC27001:2005――信息安全管理(lǐ)體系标準已經成爲世界上(shàng)應用(yòng)最廣泛與典型的信息安全管理(lǐ)标準。ISO/IEC27001是由英國标準BS7799轉換而成的。
BS7799标準于1993年由英國貿易工(gōng)業部立項,于1995年英國首次出版BS 7799-1:1995《信息安全管理(lǐ)實施細則》,它提供了(le)一套綜合的、由信息安全最佳慣例組成的實施規則,其目的是作(zuò)爲确定工(gōng)商業信息系統在大(dà)多數情況所需控制範圍的參考基準,适用(yòng)于大(dà)、中、小(xiǎo)組織。2000年12月,BS7799-1:1999《信息安全管理(lǐ)實施細則》通過了(le)國際标準化組織ISO的認可,正式成爲國際标準----- ISO/IEC17799:2000《信息技術-信息安全管理(lǐ)實施細則》,後來(lái)該标準已升版爲ISO/IEC17799:2005。2002年9月5日,BS7799-2:2002正式發布,2002版标準主要在結構上(shàng)做了(le)修訂,引入了(le)PDCA(Plan-Do-Check-Act)的過程管理(lǐ)模式,建立了(le)與ISO 9001、ISO 14001和(hé)OHSAS 18000等管理(lǐ)體系标準相同的結構和(hé)運行模式。2005年,BS 7799-2: 2002正式轉換爲國際标準ISO/IEC27001:2005。
3、标準特點
注重體系的完整性,是一套科學的信息安全管理(lǐ)體系
強調對(duì)法律法規的符合性
以風(fēng)險評估爲基礎,采用(yòng)PDCA的過程方法
适用(yòng)于各種類型、不同規模和(hé)業務性質的組織
與其他(tā)管理(lǐ)體系兼容(例如ISO9000标準等)
4、認證好(hǎo)處
獲得ISMS認證您将獲得以下(xià)好(hǎo)處:
·符合法律法規要求:證書的獲得,可以向權威機構表明(míng),組織遵守了(le)所有适用(yòng)的法律法規。從(cóng)而保護企業和(hé)相關方的信息系統安全、知(zhī)識 産權、商業秘密等。
·維護企業的聲譽、品牌和(hé)客戶信任:證書的獲得,可以向合作(zuò)夥伴、股東和(hé)客戶表明(míng)組織爲保護信息而付出的努力,令其對(duì)組織的信心将得到(dào)加強。同樣的,證書的獲得,有助于确定組織在同行業内的競争優勢,提升其市場地位。事(shì)實上(shàng),現(xiàn)在很(hěn)多國際性的投标項目已經開(kāi)始要求ISO27001的符合性了(le)。
·履行信息安全管理(lǐ)責任:證書的獲得,本身就能(néng)證明(míng)組織在各個層面的安全保護上(shàng)都付出了(le)卓有成效的努力,表明(míng)管理(lǐ)層履行了(le)相關責任。
·增強員工(gōng)的意識、責任感和(hé)相關技能(néng):證書的獲得,可以強化員工(gōng)的信息安全意識,規範組織信息安全行爲,減少人爲原因造成的不必要的損失。
·保持業務持續發展和(hé)競争優勢:全面的信息安全管理(lǐ)體系的建立,意味着組織核心業務所賴以持續的各項信息資産得到(dào)了(le)妥善保護,并且建立有效的業務持續性計(jì)劃框架,提升了(le)組織的核心競争力。
·實現(xiàn)風(fēng)險管理(lǐ):有助于更好(hǎo)地了(le)解信息系統,并找到(dào)存在的問題以及保護的辦法,保證組織自(zì)身的信息資産能(néng)夠在一個合理(lǐ)而完整的框架下(xià)得到(dào)妥善保護,确保信息環境有序而穩定地運作(zuò)。
·減少損失,降低(dī)成本:ISMS的實施,能(néng)降低(dī)因爲潛在安全事(shì)件發生而給組織帶來(lái)的損失,在信息系統受到(dào)侵襲時(shí),能(néng)确保業務持續開(kāi)展并将損失降到(dào)最低(dī)程度。
5、适用(yòng)範圍
BS7799-2 從(cóng)1998年頒布後,在全世界範圍内得到(dào)廣泛的認可。目前已有40多個國家和(hé)地區(qū)開(kāi)展信息安全管理(lǐ)體系的認證。根據ISO/IEC 17799(BS 7799)國際使用(yòng)者協會(huì)的最新統計(jì),到(dào)2005年4月,全球通過信息安全管理(lǐ)體系BS 7799-2認證的組織已經超過1200家。
信息安全對(duì)每個企業或組織來(lái)說都是需要的,所以信息安全管理(lǐ)體系認證具有普遍的适用(yòng)性,不受地域、産業類别和(hé)公司規模限制。從(cóng)目前的獲得認證的企業情況看(kàn),較多的是涉及電信、保險、銀行、數據處理(lǐ)中心、IC制造和(hé)軟件外(wài)包等行業。