ISO27000系列標(biāo)準(zhǔn)相關(guān)知識
信息是組織的血液,存在的方式各異�����?���?梢允谴蛴。謱?����,也可以是電子,演示和口述的���。當(dāng)今商業(yè)競爭日趨激烈���,來源于不同渠道的信息,威脅到信息的一致性�。它們來自內(nèi)部,外部��,意外的�����,還可能是惡意的����。隨著信息儲存,發(fā)送新技術(shù)的廣泛使用��,我們面臨的各種風(fēng)險也在增高�����。信息安全越來越重要!信息安全不是有一個終端防火墻���,或找一個24小時提供信息安全服務(wù)的公司就可以達到的��。它需要全面的綜合管理����。信息安全管理體系的引入�����,可以協(xié)調(diào)各個方面信息管理��,使管理更為有效�。信息安全管理體系是系統(tǒng)的對組織敏感信息及信息資產(chǎn)進行管理����,涉及到人,程序和信息科技(IT)系統(tǒng)��。需要建立廣泛的信息安全方針��。保證安全性�,公正性���。適用組織內(nèi)部和客戶。信息安全管理體系ISMS正成為世界上管理體系標(biāo)準(zhǔn)銷售增長量大的產(chǎn)品�。
信息安全管理體系(Information security management systems,簡稱ISMS)(即ISO/IEC 27000系列)是目前國際信息安全管理標(biāo)準(zhǔn)研究的重點����。
ISO27000 系列共包括10個標(biāo)準(zhǔn),當(dāng)前已經(jīng)發(fā)布和在研究的有6個�����,分別為:
1���、ISO/IEC 27000《信息安全管理體系 基礎(chǔ)和詞匯》�;
2���、ISO/IEC 27001:2005《信息安全管理體系 要求》�����;
3���、ISO/IEC 17799:2005《信息安全管理實用規(guī)則》(2007年4月后�,編號將改為27002)�����;
4��、ISO/IEC 27003《信息安全管理體系實施指南》��;
5��、ISO/IEC 27004《信息安全管理測量》�����;
6�、ISO/IEC 27005《信息安全風(fēng)險管理》。
一��、什么是信息安全�?像其他重要業(yè)務(wù)資產(chǎn)一樣��,信息也是對組織業(yè)務(wù)至關(guān)重要的一種資產(chǎn)�����,因此需要加以適當(dāng)?shù)乇Wo。在業(yè)務(wù)環(huán)境互連日益增加的情況下這一點顯得尤為重要����。這種互連性的增加導(dǎo)致信息暴露于日益增多的、范圍越來越廣的威脅和脆弱性當(dāng)中(也可參考關(guān)于信息系統(tǒng)和網(wǎng)絡(luò)的安全的OECD指南)��。信息可以以多種形式存在�。它可以打印或?qū)懺诩埳稀⒁噪娮臃绞酱鎯?、用郵寄或電子手段傳送、呈現(xiàn)在膠片上或用語言表達����。無論信息以什么形式存在,用哪種方法存儲或共享����,都應(yīng)對它進行適當(dāng)?shù)乇Wo。信息安全是保護信息免受各種威脅的損害���,以確保業(yè)務(wù)連續(xù)性����,業(yè)務(wù)風(fēng)險小化�,投資回報和商業(yè)機遇大化����。信息安全是通過實施一組合適的控制措施而達到的�,包括策略、過程�、規(guī)程、組織結(jié)構(gòu)以及軟件和硬件功能����。在需要時需建立、實施��、監(jiān)視�����、評審和改進這些控制措施����,以確保滿足該組織的特定安全和業(yè)務(wù)目標(biāo)。這個過程應(yīng)與其他業(yè)務(wù)管理過程聯(lián)合進行����。
二、為什么需要信息安全���?信息及其支持過程����、系統(tǒng)和網(wǎng)絡(luò)都是重要的業(yè)務(wù)資產(chǎn)����。定義、實現(xiàn)�����、保持和改進信息安全對保持競爭優(yōu)勢�����、現(xiàn)金周轉(zhuǎn)�����、贏利�����、守法和商業(yè)形象可能是至關(guān)重要的。各組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨來自各個方面的安全威脅�����,包括計算機輔助欺詐��、間諜活動��、惡意破壞�、毀壞行為、火災(zāi)或洪水��。諸如惡意代碼�����、計算機黑客搗亂和拒絕服務(wù)攻擊等導(dǎo)致破壞的安全威脅���,已經(jīng)變得更加普遍�����、更有野心和日益復(fù)雜����。信息安全對于公共和專用兩部分的業(yè)務(wù)以及保護關(guān)鍵基礎(chǔ)設(shè)施是非常重要的。在這兩部分中信息安全都將作為一個使動者���,例如實現(xiàn)電子政務(wù)或電子商務(wù)���,避免或減少相關(guān)風(fēng)險��。公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)的互連��、信息資源的共享都增加了實現(xiàn)訪問控制的難度��。分布式計算的趨勢也削弱了集中的����、專門控制的有效性。許多信息系統(tǒng)并沒有被設(shè)計成是安全的���。通過技術(shù)手段可獲得的安全性是有限的��,應(yīng)該通過適當(dāng)?shù)墓芾砗鸵?guī)程給予支持�。確定哪些控制措施要實施到位需要仔細(xì)規(guī)劃并注意細(xì)節(jié)���。信息安全管理至少需要該組織內(nèi)的所有員工參與��,還可能要求利益相關(guān)人���、供應(yīng)商�、三方�、顧客或其他外部團體的參與。外部組織的顧問����、專家建議可能也是需要的。
三�����、 如何建立安全要求組織識別出其安全要求是非常重要的��,安全要求有三個主要來源:
1�����、一個來源是在考慮組織整體業(yè)務(wù)戰(zhàn)略和目標(biāo)的情況下�,評估該組織的風(fēng)險所獲得的。通過風(fēng)險評估���,識別資產(chǎn)受到的威脅���,評價易受威脅利用的脆弱性和威脅發(fā)生的可能性�����,估計潛在的影響�����。
2、另一個來源是組織�����、貿(mào)易伙伴����、合同方和服務(wù)提供者必須滿足的法律、法規(guī)���、規(guī)章和合同要求���,以及他們的社會文化環(huán)境。
3���、三個來源是組織開發(fā)的支持其運行的信息處理的原則���、目標(biāo)和業(yè)務(wù)要求的特定集合�。
四��、評估安全風(fēng)險安全要求是通過對安全風(fēng)險的系統(tǒng)評估予以識別的�。用于控制措施的支出需要針對可能由安全故障導(dǎo)致的業(yè)務(wù)損害加以平衡。風(fēng)險評估的結(jié)果將幫助指導(dǎo)和決定適當(dāng)?shù)墓芾硇袆?�、管理信息安全風(fēng)險的優(yōu)先級以及實現(xiàn)所選擇的用以防范這些風(fēng)險的控制措施���。風(fēng)險評估應(yīng)定期進行����,以應(yīng)對可能影響風(fēng)險評估結(jié)果的任何變化��。
五��、選擇控制措施一旦安全要求和風(fēng)險已被識別并已做出風(fēng)險處理決定��,則應(yīng)選擇并實現(xiàn)合適的控制措施���,以確保風(fēng)險降低到可接受的級別�。控制措施可以從《信息安全管理適用規(guī)則》或其他控制措施集合中選擇����,或者當(dāng)合適時設(shè)計新的控制措施以滿足特定需求。安全控制措施的選擇依賴于組織所做出的決定��,該決定是基于組織所應(yīng)用的風(fēng)險接受準(zhǔn)則���、風(fēng)險處理選項和通用的風(fēng)險管理方法�,同時還要遵守所有相關(guān)的國家和國際法律法規(guī)����?���!缎畔踩芾磉m用規(guī)則》中的某些控制措施可被當(dāng)作信息安全管理的指導(dǎo)原則,并且可用于大多數(shù)組織����。
六、信息安全起點��,許多控制措施被認(rèn)為是實現(xiàn)信息安全的良好起點���。它們或者是基于重要的法律要求��,或者被認(rèn)為是信息安全的常用慣例��。
歡迎來電咨詢
深圳市凱冠企業(yè)管理咨詢有限公司
聯(lián)系人:邢小姐
聯(lián)系方式:0755-28377534-803/13302430016(微信同號)
QQ:2313063247
郵箱:szkaiguan06@163.com
官網(wǎng) http://www.szkaiguan.com/
地址:深圳市龍崗區(qū)南灣街道草堆街30號三鼎電商文創(chuàng)園A棟502
|
ISO27000策劃的具體工作有哪些�����?
在完成現(xiàn)狀調(diào)查與風(fēng)險評估工作之后����,組織 要根據(jù)已確立的信息安全方針的總體要求與信息安全管理體系范圍、風(fēng)險評估的結(jié)果���,明確組織信息安全結(jié)構(gòu)與職責(zé)���、選擇控制目標(biāo)與控制方式、編寫風(fēng)險處理計劃和控制概要��、制定業(yè)務(wù)持 續(xù)性計劃�。
組織信息安全結(jié)構(gòu)與職責(zé)
組織信息安全結(jié)構(gòu)確定是實施信息安全管理體系的基礎(chǔ)與組織 安全的保證,在職責(zé)劃分和編寫體系文件之前��,必須先進行職能分析和確定組織結(jié)構(gòu)�。在確定組織結(jié)構(gòu)時�����,要堅持精簡高效的原則�, 盡量避免部門職能的交叉�,調(diào)整組織的原有管理體系的組織結(jié)構(gòu)使其適應(yīng)信息安全管理體系標(biāo)準(zhǔn)中的管理需求;結(jié)合組織的類型���、規(guī) 模及特點�,設(shè)置管理體系運行的管理部門�����,使其負(fù)責(zé)管理體系的建立�、實施、協(xié)調(diào)及監(jiān)督管理����,不斷地發(fā)現(xiàn)管理體系運行中的問題�����, 以便及時調(diào)整�����、改進。
選擇控制目標(biāo)與控制方式
