qy千亿-qy千亿(中国)一站式服务官方网站







    1. 江(jiāng)西(xī)ISO认证咨询(xún)

      联系我们

      地址:赣州(zhōu)市章贡区会昌路9号(hào)锦绣锦(jǐn)程4栋1202室(shì)

      电话:0797-8409678

      传真:0797-8409879

      客(kè)服经理电话(huà):13970722186 18970771486

      邮(yóu)箱(xiāng):736703710@qq.com

      网址:www.yingtan.shenghuo.chaozhou.14842.xinxiang.zz.pingliang.ww38.viennacitytours.com

      宜春为(wéi)什么要建立(lì)和(hé)实施ISO27001信息安全管理体系认证(1)

      您的当前位置: 首 页 >> 服务项目 >> 宜春(chūn)ISO27001

      宜春为什么(me)要建立(lì)和实(shí)施ISO27001信息安全管理体系(xì)认证(1)

      • 所属分类:宜春(chūn)ISO27001

      • 点击次数:
      • 发布(bù)日期(qī):2021/06/17
      • 在线询价
      详细介绍

      信(xìn)息安全 (Information security): 是指信(xìn)息的保密性 (Confidentiality) 、完整性 (Integrity) 和可用性(xìng) (Availability) 的保持。

      •  保密性:为保(bǎo)障信(xìn)息仅仅(jǐn)为(wéi)那些(xiē)被(bèi)授(shòu)权使用的人获取。

       信息的保密(mì)性是针对信息(xī)被允许访问( Access )对(duì)象的多少而(ér)不同,所有人员(yuán)都可以访问(wèn)的(de)信息(xī)为公开信息,需(xū)要限制(zhì)访问的信息一般为敏感信息或秘密,秘密(mì)可以根据信息的重要性(xìng)及保(bǎo)密要求分为不(bú)同的密级,例如国家根据(jù)秘密泄露对国家经济(jì)、安全利益产生的影响(后果)不同,将国家秘(mì)密分为秘密、机密和绝密三个等级,组(zǔ)织可根据其信息安全的(de)实际,在(zài)符合《国家保密法》的前(qián)提下将其信息划分为(wéi)不同的密级;对于具体的信息的保密性有时效性,如秘密到期解密等。

       •  完整(zhěng)性:为(wéi)保护(hù)信息及其处(chù)理(lǐ)方法的准确性和完整性。

      信息(xī)完整性一方面是指信息在(zài)利用、传输、贮存等过程中不被篡(cuàn)改、丢失、缺损等,另(lìng)一方面是(shì)指信息(xī)处理的方法的正确性。不(bú)正当(dāng)的操作,如误删除文件,有可能造(zào)成重要文件的丢失。

       •  可(kě)用(yòng)性:为(wéi)保障(zhàng)授权使用人在需(xū)要时可(kě)以获取信息和使用(yòng)相(xiàng)关的资产。

      信息的可用性是(shì)指信(xìn)息及相关(guān)的信息(xī)资产(chǎn)在授权人需要的(de)时候,可以立即获得。例如通信线路中断故(gù)障会造成信息的在一段(duàn)时间内不可(kě)用,影响正(zhèng)常(cháng)的商业运作,这(zhè)是信息可(kě)用性(xìng)的破坏。不同类型的(de)信(xìn)息及相应资产的信息安全在(zài)保密性、完整性(xìng)及可用性方面关(guān)注(zhù)点不同,如(rú)组织的专(zhuān)有技术、市场营销计划等商(shāng)业秘密对组织来讲保(bǎo)守(shǒu)机密尤(yóu)其重要;而对于工(gōng)业自动控(kòng)制系统(tǒng),控(kòng)制(zhì)信息(xī)的完整性相对其保密性重要得多。

      为什么需要信(xìn)息安全(quán)?

      信息、信息处(chù)理过程及对信息起支持(chí)作用的信息(xī)系统和信息网(wǎng)络都是重要的商务资产(chǎn)。信息(xī)的保(bǎo)密性、完(wán)整(zhěng)性和可用性(xìng)对保持竞争优势(shì)、资金(jīn)流(liú)动、效益、法律符合性和商(shāng)业形象都是至关重(chóng)要的。然(rán)而(ér),越来(lái)越多(duō)的组(zǔ)织及其信息(xī)系统和网(wǎng)络面临着包括(kuò)计算(suàn)机诈骗(piàn)、间谍、蓄意破坏、火灾、水灾(zāi)等大范围的安全威胁(xié),诸如计算机病毒、计算机入侵、 Dos 攻击等(děng)手段造成的(de)信(xìn)息(xī)灾难已变(biàn)得更加普遍(biàn) 有(yǒu)计划而不易被察觉。组织对信息(xī)系统和信(xìn)息服务的依赖意味着更易(yì)受(shòu)到安(ān)全(quán)威胁的破坏(huài),公共和私人网络的互连(lián)及信息资源的共享增大了(le)实现访问控制的(de)难度。许多信息系统本身就不是按照安全系(xì)统的(de)要求来设计的,所(suǒ)以仅依靠技术手段来实(shí)现(xiàn)信息安全有(yǒu)其局限性,所以信息安全的实现须得(dé)到管理和程序控制的适(shì)当支持。确(què)定应采取哪些控制方式则需要(yào)周密计划,并注意细节。信息安全管(guǎn)理(lǐ)至少需要组织中的所有雇员的参(cān)与,此(cǐ)外还(hái)需要(yào)供应商、顾客或股东的参与(yǔ)和信息安全的专家建议(yì)。在信息系统设(shè)计阶段就将安全(quán)要求和(hé)控(kòng)制一体化考虑,则成本会(huì)更低、效率(lǜ)会(huì)更高(gāo)。

       BS7799的(de)信(xìn)息(xī)管理过程(chéng):

      确定信息安全(quán)管理(lǐ)方针。

      确定 ISMS( 信(xìn)息安全管理体系的范围(wéi)

      进行风险分析。

      选(xuǎn)择控制目标(biāo)并(bìng)进行控制。

      建立业务持(chí)续计划。

      建立并实施安全管理(lǐ)体系。

       建立信息安全(quán)管理体系的作用:

       任何组织,不论它在(zài)信(xìn)息技术方面如何努力以及(jí)采纳如(rú)何新的信息(xī)安全技(jì)术,实际(jì)上在(zài)信(xìn)息安全管理方面都还(hái)存在(zài)漏(lòu)洞(dòng),例如:

      · 缺少(shǎo)信息安全管理论坛,安(ān)全导向不明确,管(guǎn)理支持不明显(xiǎn); 

      · 缺少跨部门的信息(xī)安全协调机制; 

      · 保护特定资产以及完成(chéng)特定(dìng)安全过程(chéng)的(de)职责(zé)还不明确(què); 

      · 雇员信息安全意识薄弱(ruò),缺少防(fáng)范意识,外(wài)来人员很容易直(zhí)接(jiē)进入生产和工作(zuò)场所; 

      · 组织信息系统管理制度(dù)不够健全; 

      · 组(zǔ)织(zhī)信息系(xì)统主机房安全存在(zài)隐患(huàn),如(rú):防火(huǒ)设施存(cún)在问题(tí),与(yǔ)危险品仓(cāng)库同处一幢(zhuàng)办公楼等(děng); 

      · 组织信(xìn)息系(xì)统备份设备仍有欠(qiàn)缺; 

      · 组织(zhī)信息(xī)系统安全防(fáng)范技术投入欠(qiàn)缺; 

      · 软件知识产权保(bǎo)护欠缺; 

      · 计(jì)算机房(fáng)、办公场所等物理防范(fàn)措施欠(qiàn)缺; 

      · 档(dàng)案、记录等缺少可靠贮存(cún)场所; 

      · 缺少一(yī)旦(dàn)发生意外时的(de)保证生产经营连(lián)续性的(de)措(cuò)施和计划; 

              ……等等。



      为什么要建(jiàn)立和实施ISO27001信息安全管理体系认证(2


      其实,组织可以(yǐ)参照信(xìn)息安全管理模(mó)型,按照先进的信息安(ān)全管理标准 BS7799 标准(zhǔn)建立(lì)组织完整的(de)信息安(ān)全管理体系并实施与保持,达到动(dòng)态的、系统的、全员参(cān)与(yǔ)、制度化的(de)、以预(yù)防为主的信息安全管理方式,用较低(dī)的(de)成本,达到可(kě)接受的信息安全水平(píng),就可以从(cóng)根本上(shàng)保证业务(wù)的连续(xù)性(xìng)。组织建立、实施与保持信息安全(quán)管理体系(xì)将会产生如下作(zuò)用:

      · 强化员工的信息安全(quán)意识,规范组织(zhī)信息安全行为(wéi); 

      · 对组织的关键(jiàn)信息资产进行全面系统的保护,维持竞争优势; 

      · 在信息系统(tǒng)受到侵(qīn)袭时,确保业务(wù)持续开展并将损失降到较低(dī)程(chéng)度(dù); 

      · 使组织的生意伙伴和客户对组织充(chōng)满信心; 

      · 如果(guǒ)通过体系认(rèn)证,表明体系符合标准,证明(míng)组(zǔ)织有能力保(bǎo)障重要信息,提高组(zǔ)织的名度与信(xìn)任度; 

      · 促(cù)使管理层(céng)坚持贯彻信息(xī)安全保障(zhàng)体系。 

      BS7799标准概述:

      · 1995 年(nián),英(yīng)国贸(mào)工部根据英国国内企业对信息安全日益高涨的呼(hū)声,组织(zhī)大企业的信息安全(quán)经理们,制(zhì)定了世界上第一个信息安全管(guǎn)理体(tǐ)系标准(zhǔn) BS7799-1 : 1995 《信息安(ān)全管理实(shí)施规(guī)则》,作(zuò)为(wéi)工商业和大(dà)、中、小型组织(zhī)实施信息安全管理的(de)指南(nán)。由(yóu)于该(gāi)标准采用建议和指(zhǐ)导(dǎo)方(fāng)式编写(xiě),因而不宜作为认证标准使用(yòng)。 

      · 1998 年,为了适(shì)应(yīng)第三方(fāng)认证的需要,英国又制定了第(dì)一个(gè)信息安全(quán)管理体系认证标准 --BS7799-2 : 1998 《信息安全管理体系规(guī)范》,作(zuò)为对一(yī)个组织的全部或部分信息(xī)安全管理体系(xì)进行(háng)评审认证的依据标准。 

      · 1999 年(nián),鉴于计(jì)算机和信息处理(lǐ)技术(shù),尤(yóu)其是网络和通信领域应用的迅速(sù)发展,英国又对信息(xī)安全管理体(tǐ)系标准(zhǔn)进行了修订。修订后的 BS7799-1 : 1999 和 BS7799-2 : 1999 分别取代了 BS7799-1 : 1995 和 BS7799-2 : 1998 。新修订的 1999 版标准进一(yī)步强调(diào)了组织在商务工作中所涉(shè)及的信息(xī)安全和(hé)信息安全责任。 BS7799-1 : 1999 和 BS7799-2 : 1999 是一对配套(tào)标(biāo)准, BS7799-1 : 1999 为如(rú)何(hé)建立和实施符(fú)合 BS7799-2 : 1999 标准(zhǔn)要求的信(xìn)息安全(quán)管理体(tǐ)系(xì)提供了较佳的应用建议。 

      · 2000 年 12 月, BS7799-1 : 1999 已经被 ISO/IEC 正式(shì)采纳(nà)成为国际标(biāo)准 -- ISO/IEC 17799 : 2000 《信息技术信息安全管理实施(shī)规则》,另外, BS7799-2 : 1999 也即将于(yú) 2002 年(nián)底被(bèi) ISO/IEC 作为(wéi)蓝本修(xiū)订后成(chéng)为可用于认证(zhèng)的(de) ISO/IEC 的(de)《信(xìn)息安全管理体系(xì)规范(fàn)》。 

      信(xìn)息安全(quán)认证是实现信息安全目标的较佳途径(jìng):

       

      BS7799-22002信息(xī)安全管理体系规范向组织(zhī)提出了一系列(liè)认证的要求,在总则(zé)中提出组织应建(jiàn)立(lì)并(bìng)保(bǎo)持一个文(wén)件化的信息(xī)安全管理体系,阐(chǎn)述被保护的资产(chǎn)、组织风(fēng)险管理的渠道、控制目标及(jí)控(kòng)制方式(shì)和(hé)需要的(de)保证等(děng)级;通过(guò)建立管理架构并(bìng)加以实施来达(dá)到识别控制目标和控(kòng)制方式(shì),并形成文件和(hé)记录。

       

      BS7799-22002的(de)控制细则包括10个方面:  

      · 安(ān)全方针(zhēn):为信息安全提供(gòng)管理指导和支持; 

      · 组织安全:建立信息(xī)安(ān)全架构,保证组织的内部管(guǎn)理;被第三方(fāng)访问或外协时(shí),保(bǎo)障组织的信息安全; 

      · 资产的归类与控制:明确资产责任,保持对(duì)组织资产的适当保护;将信(xìn)息进行归类,确保信(xìn)息资产受到适(shì)当(dāng)程度的(de)保护; 

      · 人员安全:在工作说明和资源方面(miàn),减少因人(rén)为错误、盗窃(qiè)、欺诈和设施误用(yòng)造成(chéng)的风(fēng)险;加强用户培训,确保用户(hù)清楚知道信息安(ān)全的危险(xiǎn)性和相关事(shì)项(xiàng),以便在他们的日常(cháng)工作中支持(chí)组织的(de)安全(quán)方针;制定(dìng)安全(quán)事故(gù)或故障的反应(yīng)程(chéng)序,减少由安全事故和故障造成的损失,监控安全(quán)事件并从这种事件中吸(xī)取(qǔ)教训; 

      · 实物与环境安全:确定(dìng)安全(quán)区(qū)域,防(fáng)止(zhǐ)非授权访问、破坏、干扰商务场所和信息;通过保障设(shè)备安全(quán),防止资产的丢(diū)失、破坏、资产(chǎn)危害及商务活动的中(zhōng)断;采用通用的控制方式,防(fáng)止(zhǐ)信息或信息处理设施损坏(huài)或失窃; 

      · 通信(xìn)和操作方式管(guǎn)理:明(míng)确操作程(chéng)序及其责任,确保信息处理设施的正确、安全操作(zuò);加强系统策划与(yǔ)验收,减(jiǎn)少系统失效风险;防范恶意软件(jiàn)以保持软件和信息的完(wán)整性;加强内务(wù)管理以保持信息处理和通讯服务的完整性和(hé)有效性通过 加强网(wǎng)络管理确保网络中的信息安全及其辅助(zhù)设施受(shòu)到保护;通过保护媒体处理的安全 防止资产损坏和(hé)商务活动的中(zhōng)断;加强信息和软(ruǎn)件的交(jiāo)换的管理,防止组织间在交换信息时发生丢失、更改和(hé)误用; 

      · 访问控制(zhì):按照访问控制(zhì)的商(shāng)务要求,控制信息访(fǎng)问;加强用户访(fǎng)问管理,防(fáng)止非授权访问信息系(xì)统(tǒng);明确用户职责,防止非授权的用(yòng)户访问;加强(qiáng)网络访问控制(zhì),保护网络服务(wù)程序(xù);加强操作系统访(fǎng)问控制(zhì) 防止非授权的计算机访问;加强(qiáng)应(yīng)用访问控制(zhì),防止非授权访问系统中的信息;通过监控(kòng)系(xì)统的访问与(yǔ)使(shǐ)用,监测非授权行为;在(zài)移动式(shì)计算(suàn)和(hé)电传工作方面 确保使用移(yí)动式(shì)计算和电传工(gōng)作设(shè)施的信息安全; 

      · 系统开发与维护:明确系统安全要求,确保安全(quán)性已构(gòu)成信息系(xì)统的一部份(fèn);加强应(yīng)用系统的安全,防(fáng)止应用系统用户数据的丢失、被修改或误用;加(jiā)强(qiáng)密码技术控制,保(bǎo)护信息的保密性、可靠性(xìng)或完整性;加强系统(tǒng)文件的(de)安全,确保 IT 方案及其支持(chí)活动以安(ān)全的(de)方式进(jìn)行;加强开发和支持过(guò)程的安全,确保应用(yòng)系统软件(jiàn)和信息的安全; 

      · 商(shāng)务(wù)连续性管理:防止(zhǐ)商务活动的中断及(jí)保护关键(jiàn)商务过程不受重大失误或灾难事故的(de)影响; 

      · 符(fú)合:符合法律法(fǎ)规要求,避免刑法(fǎ)、民(mín)法(fǎ)、有(yǒu)关法令法规或合同约定事宜及其他安全要求的规定相抵触;加强安全方(fāng)针和技术(shù)符(fú)合性评审,确保体(tǐ)系按(àn)照组织的安全方针及标准执行;系统审核考虑因素,使效果较大化 并使系统审核过程的影响较小化。   

      在国际标准 ISO/IEC17799 给出了为实现(xiàn)信息安全认证所需的各项措施的详细(xì)指导(dǎo),具有很强的可操(cāo)作性和指(zhǐ)导(dǎo)性。

      归根结底,信息安全工作(zuò)的目的就是在(zài)法律、法规、政策的(de)支(zhī)持与指导(dǎo)下,通(tōng)过采用合(hé)适的安全技(jì)术与安全管理措施,提供安全需求的保证,而 BS7799 信息安全认证标准正是总和(hé)了这些要求。组织(zhī)可以根据(jù)自身(shēn)特点,在(zài) ISO/IEC 17799 指(zhǐ)导下,实(shí)现信息安全的要求。

       ISO270012005 《信息安全(quán)管(guǎn)理(lǐ)体系要求》

       ISO27001 : 2005 《信(xìn)息安全(quán)管理体系要求》是(shì)关于(yú)信息安全管理的标准,是标准不(bú)是方(fāng)法,达到(dào)这些标(biāo)准(zhǔn)的要(yào)求(qiú)并(bìng)不难,重要的是用什么(me)方法去实(shí)现。企业应将实施标准作为改善内部管理的一次(cì)机会,不应该将标准做(zuò)为一种简(jiǎn)单的模式对现有流程运作进行套用,应对现(xiàn)有的组织运作(zuò)流(liú)程进行详细分(fèn)析,有针对性地设计并改(gǎi)善现有管理体系、改善薄弱环节、改善运(yùn)作流程(chéng)及内部沟通(tōng),并有效地将先进的管(guǎn)理思(sī)想(xiǎng)融合到具体的(de)实(shí)施(shī)程序(xù)中,才能发挥标准的(de)真正作用。

      获得认证证书不(bú)是(shì)较终目的,建立有责、有序(xù)、有效的(de)信息安全管理(lǐ)体系,提(tí)高员工的(de)信息(xī)安全意识,不断获取并运用先进的管理方法和(hé)技术手段才能使企(qǐ)业的信息(xī)安全管理水平得(dé)以持续的发展和提(tí)升。


      本(běn)文网址:http://www.yingtan.shenghuo.chaozhou.14842.xinxiang.zz.pingliang.ww38.viennacitytours.com/product/620.html

      关键词:九江(jiāng)ISO27001认证,九江ISO27001信息安全管理体(tǐ)系认证,九(jiǔ)江ISO27001信息安全管理体系

      最近浏览:

      相关(guān)产品(pǐn):

      相关新闻:

      1.png

      在(zài)线客服
      二维码(mǎ)

      扫描二维(wéi)码

      分享 一键分享
      欢迎给我(wǒ)们留言
      请在此(cǐ)输入留言内(nèi)容(róng),我们会尽快与您联系。
      姓名
      联系人
      电话
      座机/手机(jī)号码
      邮箱
      邮箱
      地址
      地(dì)址
      qy千亿-qy千亿(中国)一站式服务官方网站

      qy千亿-qy千亿(中国)一站式服务官方网站

      qy千亿-qy千亿(中国)一站式服务官方网站