欢迎来到赣州大财神app和宏儒企业(yè)管(guǎn)理服务有限(xiàn)公司网站!
地(dì)址:赣州市章贡区会昌(chāng)路9号锦绣锦程4栋1202室
电话:0797-8409678
传(chuán)真:0797-8409879
客服(fú)经理电话:13970722186 18970771486
邮(yóu)箱:736703710@qq.com
网(wǎng)址(zhǐ):www.zhoushan.14842.xinxiang.zz.pingliang.ww38.viennacitytours.com
信息安(ān)全 (Information security): 是指信息的(de)保(bǎo)密性 (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。
• 保密性(xìng):为保障信(xìn)息仅仅为那些被(bèi)授权使用的人获取。
信息的保(bǎo)密性(xìng)是针对(duì)信息被允许访问( Access )对象(xiàng)的多少而不同,所有人员都可以访问的信息(xī)为公开信息(xī),需(xū)要限制访问的信(xìn)息一般为敏感信息或(huò)秘密(mì),秘密可以根据信(xìn)息的重(chóng)要性及保密要求分为不同的密级(jí),例如国家根据秘密泄露对(duì)国(guó)家经济、安全利益(yì)产生的影响(后(hòu)果)不同(tóng),将国(guó)家秘密分为秘密、机密(mì)和绝(jué)密三个等级(jí),组织(zhī)可根据其信(xìn)息安全的实(shí)际(jì),在符合(hé)《国家保密法》的(de)前提下将其信(xìn)息划分为不同的密级;对于具体的信息的(de)保密(mì)性有时(shí)效性,如秘(mì)密到期解(jiě)密等(děng)。
• 完(wán)整性:为保护(hù)信息及(jí)其处(chù)理方法的准确性和(hé)完整性(xìng)。
信息完整性一方面(miàn)是指信息在利用(yòng)、传输、贮存等过程中不被篡改(gǎi)、丢失、缺损等,另一方面是指信息处理的(de)方法(fǎ)的正(zhèng)确性。不正当的操作,如误删除文件,有可能造(zào)成(chéng)重要文件的(de)丢失。
• 可用(yòng)性:为保障授权使用人在需要时可以获取信息和使用相关的资产。
信息的可用性是指信息及相关的信(xìn)息资(zī)产在(zài)授权人需要的时候,可以立即(jí)获得。例如通信线路(lù)中断(duàn)故障会(huì)造(zào)成信息的在一(yī)段时间内不可用,影响正常的商业运作,这是信息可用(yòng)性的破坏(huài)。不同类型的信息(xī)及相应资产的信息安全在保密性、完整性及可用性方面关注点(diǎn)不(bú)同,如组织(zhī)的专(zhuān)有技术、市(shì)场营销计划等商业(yè)秘密对组织来讲保守机密尤其重(chóng)要;而对于工业自动控制(zhì)系统,控(kòng)制信(xìn)息的完整性相对其保密性重要得多。
为什(shí)么需要信息安(ān)全?
信息(xī)、信(xìn)息(xī)处理过程(chéng)及对信息起(qǐ)支持作用的信息系统(tǒng)和信息网络(luò)都是重要(yào)的商务资(zī)产。信息的(de)保密性、完整(zhěng)性和可用性对保持竞争优势、资金流(liú)动、效益、法律(lǜ)符合性和商业(yè)形(xíng)象都是至关(guān)重要的。然而,越来越(yuè)多(duō)的组织及(jí)其信息系统(tǒng)和网络面临着包括计(jì)算机(jī)诈骗(piàn)、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁(xié),诸如计算机病毒、计算(suàn)机入侵、 Dos 攻击等手段造成的(de)信息灾难已变得更加普遍(biàn) , 有计划(huá)而(ér)不易被察(chá)觉。组织对信息系(xì)统和信息服务(wù)的依赖意(yì)味着更易受到安全威(wēi)胁的破坏,公共和私人网络的互连及信息资源的共(gòng)享增大了实现访问控(kòng)制(zhì)的(de)难度。许多信息系统(tǒng)本(běn)身(shēn)就不是按照安全系统(tǒng)的要求来设(shè)计(jì)的,所(suǒ)以仅依靠技术手段来实现(xiàn)信息安(ān)全有(yǒu)其局限(xiàn)性,所(suǒ)以(yǐ)信息安全的(de)实现须得到管理(lǐ)和程序控制的适当支持。确(què)定应(yīng)采取哪些控制方式则(zé)需要周密计划,并(bìng)注意细节。信息安(ān)全管理至(zhì)少需要组织中(zhōng)的(de)所有雇员的参与,此(cǐ)外还需要供应商、顾客或股(gǔ)东的参与和信息安全的专家建议。在信息系统设计阶段就将安全要求和控制一(yī)体化考虑,则(zé)成本会更低、效率会更高。
BS7799的信息(xī)管理过(guò)程(chéng):
①确定信息安全管理方针。
②确定 ISMS( 信息安全(quán)管理体系) 的范围
③进行(háng)风险分析。
④选择控(kòng)制目标并进行控制。
⑤建立业务持续计划。
⑥建立并实(shí)施(shī)安全管理体系。
建立信息(xī)安全管理体系(xì)的(de)作用:
任何组织,不论它在信息(xī)技术方面(miàn)如(rú)何努力以及采纳如何新的信(xìn)息(xī)安全技术,实际上在信息(xī)安全管理方(fāng)面(miàn)都还存(cún)在漏洞,例如:
· 缺(quē)少信息(xī)安全管理论坛,安全导向不明(míng)确,管理支(zhī)持不明显(xiǎn);
· 缺少(shǎo)跨部门的信息安全协调机制;
· 保(bǎo)护特定资产以及完成特定安全过程的职责还不明确;
· 雇员信息安全意识薄(báo)弱,缺少防范意识,外来人员很容易直接进入生产和工(gōng)作场所(suǒ);
· 组织信息系统管理制度(dù)不够健全;
· 组织信息系统主机(jī)房安全存在隐患(huàn),如:防火设施存(cún)在问题,与危险品仓库同处一幢办公楼等;
· 组织(zhī)信息系统备份设备(bèi)仍有(yǒu)欠(qiàn)缺;
· 组织信息系(xì)统(tǒng)安全防范技(jì)术投入欠缺;
· 软(ruǎn)件知识(shí)产(chǎn)权(quán)保护欠缺;
· 计算机房、办公(gōng)场所等物理(lǐ)防(fáng)范措施欠缺;
· 档案、记(jì)录等缺少可靠贮存场所;
· 缺少一旦(dàn)发生意外时的(de)保证生产经营连续性的措施和计划;
……等等。
为什么要建立和实施(shī)ISO27001信(xìn)息安全(quán)管理体系认证(2)
其实(shí),组(zǔ)织可(kě)以参照(zhào)信息安全管理模(mó)型,按(àn)照先(xiān)进的信息(xī)安(ān)全管理标准 BS7799 标准建立组织完整的(de)信(xìn)息安全管(guǎn)理(lǐ)体系并(bìng)实施与保持,达到动态的、系统的(de)、全员参与(yǔ)、制度化的、以预防(fáng)为(wéi)主的信息安全(quán)管理方式,用较低的成本,达(dá)到可接受的信息安全水平,就可以从根本(běn)上保(bǎo)证业务的连续性。组(zǔ)织建立(lì)、实施(shī)与保持信息安全管理体系将会(huì)产生如下(xià)作(zuò)用:
· 强化(huà)员工的信息安全意识,规范组织信息安全行为;
· 对组织的关键信息资产进行全面系(xì)统的保护,维持竞争(zhēng)优势;
· 在信息系统(tǒng)受(shòu)到侵袭时,确保业务持续开展并将损失降到较低程度;
· 使组织(zhī)的生意伙(huǒ)伴和客户对组织充满信心;
· 如果通过体系认证(zhèng),表(biǎo)明体系符合标准,证明组织有能力(lì)保障重要信息(xī),提高组织(zhī)的(de)名度(dù)与信任度;
· 促(cù)使管理层坚持(chí)贯彻(chè)信息安(ān)全保障(zhàng)体系。
BS7799标准概述:
· 1995 年,英国贸工部根据英国国内企业对信息安全(quán)日益(yì)高涨(zhǎng)的呼(hū)声,组(zǔ)织大企业的(de)信息(xī)安全经理们,制定了世界上第(dì)一个信息安全管理体系标准(zhǔn) BS7799-1 : 1995 《信息安全管理实施规则(zé)》,作为工(gōng)商业和大、中、小型组织(zhī)实施(shī)信(xìn)息安全管理(lǐ)的指南。由于该标准(zhǔn)采用建议(yì)和指导方式(shì)编写,因而不宜作为认证标准使用。
· 1998 年,为(wéi)了适应第三方认证的需要,英国又制定了第一个信息安全管理(lǐ)体系认证标准 --BS7799-2 : 1998 《信息安全管理体系规范》,作(zuò)为对一个组(zǔ)织的(de)全部或部(bù)分(fèn)信息安(ān)全(quán)管理(lǐ)体(tǐ)系进行评(píng)审认(rèn)证的(de)依(yī)据标准。
· 1999 年(nián),鉴于计算机和信息处理技(jì)术,尤其是网络和(hé)通信领域应用的迅速(sù)发展,英国又对信息安全管理(lǐ)体(tǐ)系标准进行了修订。修订后(hòu)的(de) BS7799-1 : 1999 和 BS7799-2 : 1999 分别取代(dài)了 BS7799-1 : 1995 和 BS7799-2 : 1998 。新修(xiū)订的(de) 1999 版标准进一步强调了(le)组织在商务工(gōng)作中所涉及的信(xìn)息(xī)安全和(hé)信息安(ān)全(quán)责任。 BS7799-1 : 1999 和 BS7799-2 : 1999 是一对(duì)配套(tào)标准, BS7799-1 : 1999 为如何建(jiàn)立(lì)和实施符合 BS7799-2 : 1999 标准要(yào)求的信(xìn)息安全管理体系(xì)提(tí)供了较佳的(de)应用(yòng)建议。
· 2000 年 12 月(yuè), BS7799-1 : 1999 已经被 ISO/IEC 正式采纳成为(wéi)国际标准(zhǔn) -- ISO/IEC 17799 : 2000 《信(xìn)息技术—信(xìn)息安全管(guǎn)理实施规则(zé)》,另外, BS7799-2 : 1999 也即将于(yú) 2002 年底被 ISO/IEC 作为蓝(lán)本修(xiū)订后成为可用于认证的 ISO/IEC 的《信(xìn)息安(ān)全管理体系规范》。
信息安全认证是(shì)实(shí)现(xiàn)信息(xī)安全目标的较(jiào)佳途径:
BS7799-2:2002信息安全管理体系规(guī)范向(xiàng)组织提出了(le)一(yī)系列(liè)认证的(de)要求,在(zài)总则中提(tí)出组织应建立并保持一个文件化的信息安全(quán)管理体系,阐述被保护的(de)资产、组织风险管理的渠道、控制(zhì)目标及控制方(fāng)式和需(xū)要的保证等级;通过建立(lì)管(guǎn)理架构并加以实施来(lái)达到识别控制目标和控(kòng)制方式(shì),并形成文(wén)件和记(jì)录(lù)。
BS7799-2:2002的控(kòng)制细则(zé)包括10个方面(miàn):
· 安全方针:为信息安全提供管理指导和支持(chí);
· 组织安全:建立信息安全(quán)架构,保证(zhèng)组织的(de)内部管(guǎn)理;被第三方访(fǎng)问或外协(xié)时,保障组织(zhī)的信(xìn)息(xī)安全;
· 资产(chǎn)的归类与控(kòng)制:明(míng)确(què)资产责任,保(bǎo)持对组织资产的(de)适当保护;将信息(xī)进行(háng)归类,确保信(xìn)息资(zī)产受(shòu)到适当程度的保护;
· 人员安全:在工作说明和资(zī)源(yuán)方面,减少(shǎo)因人为错(cuò)误、盗(dào)窃(qiè)、欺诈和设施误用造(zào)成的风险;加强用户(hù)培训(xùn),确保用户(hù)清楚知道信息安(ān)全(quán)的危险性和相关(guān)事项,以便在他们的日常工(gōng)作中(zhōng)支持组织的(de)安全方针;制(zhì)定安(ān)全事故或故障的反应(yīng)程序,减少(shǎo)由安全(quán)事故和(hé)故障造成的损失,监控安全事件并从这(zhè)种事(shì)件中吸取教训;
· 实物(wù)与环境安全:确定(dìng)安(ān)全区域,防止(zhǐ)非授权(quán)访问、破坏、干扰商务场所和信(xìn)息;通过保障设备安全,防止(zhǐ)资产(chǎn)的丢(diū)失(shī)、破坏、资产危害及商务(wù)活动的中断(duàn);采用(yòng)通用的控制方(fāng)式,防止信息或信(xìn)息处理(lǐ)设施(shī)损坏或失窃;
· 通信和操(cāo)作(zuò)方式管理:明(míng)确操作程序及(jí)其责任,确保信息处理设(shè)施的正确、安全操作;加强系统(tǒng)策划与验收,减少系统(tǒng)失(shī)效(xiào)风险;防范恶意(yì)软件以保持软件和(hé)信息的(de)完整性;加强内务(wù)管理以保持信息处(chù)理和通讯服务的完整(zhěng)性和有(yǒu)效性(xìng)通(tōng)过 ; 加(jiā)强(qiáng)网络管理确保网络中的信息安全及其辅助设(shè)施受到保(bǎo)护;通过保护(hù)媒体处理的安全 , 防止资产损(sǔn)坏和商务活动的中断;加强信息和软(ruǎn)件的(de)交(jiāo)换的管理(lǐ),防止(zhǐ)组织(zhī)间在交换信息时发生丢失、更改和误用;
· 访问控制:按照访问控制(zhì)的商务(wù)要求,控制信息访问;加强用户访问管理,防止非授权访问信(xìn)息系统;明确(què)用户职责,防止非授权的用户访问(wèn);加强网络访问控(kòng)制(zhì),保护网络(luò)服务程序;加强操作系统访问控制(zhì) , 防止非授权的(de)计(jì)算机访问(wèn);加强应用(yòng)访问(wèn)控制,防(fáng)止非授权(quán)访问系统中的(de)信息;通过(guò)监控系统(tǒng)的访问与使用,监测非授权行为(wéi);在移动式计(jì)算和电传工作方面 , 确(què)保使用移动式计(jì)算和电传工作设施的(de)信息(xī)安全;
· 系统开(kāi)发与维护(hù):明确系统安全要求,确保安全性已构(gòu)成(chéng)信息系统的(de)一部份;加强应用系统的(de)安全,防止应用(yòng)系统(tǒng)用(yòng)户数(shù)据(jù)的丢失(shī)、被修改或误用;加强密码技术控制,保护信息的保密性、可靠(kào)性或完整(zhěng)性;加强系统文件的(de)安全,确保 IT 方(fāng)案及其支(zhī)持活动以安全的方式进行;加强开(kāi)发和支持(chí)过程的安全,确(què)保应用系统软件和信(xìn)息的(de)安全;
· 商务连续性管理:防止(zhǐ)商务活动(dòng)的中(zhōng)断及保护关键商务(wù)过程不受重大失(shī)误或灾难事故(gù)的影响;
· 符(fú)合:符合法律(lǜ)法规要求,避免刑法、民法、有关法令法规或合同约定事宜及其(qí)他安全要求的规定(dìng)相抵触(chù);加强(qiáng)安全方针和(hé)技术符合性评(píng)审,确保(bǎo)体系(xì)按照组织的(de)安全(quán)方针及标准(zhǔn)执行;系统审核考(kǎo)虑(lǜ)因(yīn)素,使效果较大化 , 并使系(xì)统审核过(guò)程的影响较小化(huà)。
在国际标(biāo)准 ISO/IEC17799 给出了为实现信息(xī)安全认证所需的(de)各项措施的(de)详(xiáng)细指导,具有很强的可操作性和指导性(xìng)。
归根(gēn)结底,信息(xī)安全工作的目的就是在法律、法规、政策的支持与(yǔ)指导下(xià),通过采用合(hé)适的安全技(jì)术与(yǔ)安全管理措施,提供安全需求的保证,而 BS7799 信(xìn)息安全认证标准正是总和了这些要求。组织可以(yǐ)根据自身(shēn)特(tè)点,在 ISO/IEC 17799 指导下,实现信息安全的要求。
ISO27001:2005 《信(xìn)息安全管理(lǐ)体系要(yào)求》
ISO27001 : 2005 《信息安全管理体(tǐ)系要求(qiú)》是关于(yú)信息安(ān)全管理(lǐ)的标准,是标(biāo)准(zhǔn)不是方法,达到这(zhè)些标准的要求并不难,重要(yào)的是用什么(me)方法去实现(xiàn)。企业应将(jiāng)实施标准作为(wéi)改善内部管(guǎn)理的一次机(jī)会(huì),不(bú)应该将标准做为一种简单的模式对现有(yǒu)流程运作进(jìn)行套用,应对现有(yǒu)的组织运作流程进行详细分析,有针对性地设计并(bìng)改善现有管理体系、改善薄弱环(huán)节(jiē)、改(gǎi)善运作流程(chéng)及内部沟通,并有效(xiào)地将先进的管理(lǐ)思想融(róng)合到具体(tǐ)的实施程序中,才能发挥标准的真(zhēn)正作用。
获得认证证书不是较终目的,建立(lì)有责、有序、有效的信息(xī)安全管(guǎn)理体系(xì),提(tí)高员工的(de)信息安(ān)全意识,不断获取并运用先进的管理方(fāng)法和技术手段才能使企业(yè)的信息安全管理水平得以(yǐ)持续(xù)的发展和提升。