欢迎来到(dào)赣(gàn)州qy千亿和宏儒(rú)企业(yè)管(guǎn)理服务有(yǒu)限公司网站!
地址:赣州(zhōu)市章贡区会昌路9号(hào)锦绣锦(jǐn)程4栋1202室(shì)
电话:0797-8409678
传真:0797-8409879
客(kè)服经理电话(huà):13970722186 18970771486
邮(yóu)箱(xiāng):736703710@qq.com
网址:www.yingtan.shenghuo.chaozhou.14842.xinxiang.zz.pingliang.ww38.viennacitytours.com
信(xìn)息安全 (Information security): 是指信(xìn)息的保密性 (Confidentiality) 、完整性 (Integrity) 和可用性(xìng) (Availability) 的保持。
• 保密性:为保(bǎo)障信(xìn)息仅仅(jǐn)为(wéi)那些(xiē)被(bèi)授(shòu)权使用的人获取。
信息的保密(mì)性是针对信息(xī)被允许访问( Access )对(duì)象的多少而(ér)不同,所有人员(yuán)都可以访问(wèn)的(de)信息(xī)为公开信息,需(xū)要限制(zhì)访问的信息一般为敏感信息或秘密,秘密(mì)可以根据信息的重要性(xìng)及保(bǎo)密要求分为不(bú)同的密级,例如国家根据(jù)秘密泄露对国家经济(jì)、安全利益产生的影响(后果)不同,将国家秘(mì)密分为秘密、机密和绝密三个等级,组(zǔ)织可根据其信息安全的(de)实际,在(zài)符合《国家保密法》的前(qián)提下将其信息划分为(wéi)不同的密级;对于具体的信息的保密性有时效性,如秘密到期解密等。
• 完整(zhěng)性:为(wéi)保护(hù)信息及其处(chù)理(lǐ)方法的准确性和完整性。
信息(xī)完整性一方面是指信息在(zài)利用、传输、贮存等过程中不被篡(cuàn)改、丢失、缺损等,另(lìng)一方面是(shì)指信息(xī)处理的方法的正确性。不(bú)正当(dāng)的操作,如误删除文件,有可能造(zào)成重要文件的丢失。
• 可(kě)用(yòng)性:为(wéi)保障(zhàng)授权使用人在需(xū)要时可(kě)以获取信息和使用(yòng)相(xiàng)关的资产。
信息的可用性是(shì)指信(xìn)息及相关(guān)的信息(xī)资产(chǎn)在授权人需要的(de)时候,可以立即获得。例如通信线路中断故(gù)障会造成信息的在一段(duàn)时间内不可(kě)用,影响正(zhèng)常(cháng)的商业运作,这(zhè)是信息可(kě)用性(xìng)的破坏。不同类型的(de)信(xìn)息及相应资产的信息安全在(zài)保密性、完整性(xìng)及可用性方面关(guān)注(zhù)点不同,如(rú)组织的专(zhuān)有技术、市场营销计划等商(shāng)业秘密对组织来讲保(bǎo)守(shǒu)机密尤(yóu)其重要;而对于工(gōng)业自动控(kòng)制系统(tǒng),控(kòng)制(zhì)信息(xī)的完整性相对其保密性重要得多。
为什么需要信(xìn)息安全(quán)?
信息、信息处(chù)理过程及对信息起支持(chí)作用的信息(xī)系统和信息网(wǎng)络都是重要的商务资产(chǎn)。信息(xī)的保(bǎo)密性、完(wán)整(zhěng)性和可用性(xìng)对保持竞争优势(shì)、资金(jīn)流(liú)动、效益、法律符合性和商(shāng)业形象都是至关重(chóng)要的。然(rán)而(ér),越来(lái)越多(duō)的组(zǔ)织及其信息(xī)系统和网(wǎng)络面临着包括(kuò)计算(suàn)机诈骗(piàn)、间谍、蓄意破坏、火灾、水灾(zāi)等大范围的安全威胁(xié),诸如计算机病毒、计算机入侵、 Dos 攻击等(děng)手段造成的(de)信(xìn)息(xī)灾难已变(biàn)得更加普遍(biàn) , 有(yǒu)计划而不易被察觉。组织对信息(xī)系统和信(xìn)息服务的依赖意味着更易(yì)受(shòu)到安(ān)全(quán)威胁的破坏(huài),公共和私人网络的互连(lián)及信息资源的共享增大了(le)实现访问控制的(de)难度。许多信息系统本身就不是按照安全系(xì)统的(de)要求来设计的,所(suǒ)以仅依靠技术手段来实(shí)现(xiàn)信息安全有(yǒu)其局限性,所以信息安全的实现须得(dé)到管理和程序控制的适(shì)当支持。确(què)定应采取哪些控制方式则需要(yào)周密计划,并注意细节。信息安全管(guǎn)理(lǐ)至少需要组织中的所有雇员的参(cān)与,此(cǐ)外还(hái)需要(yào)供应商、顾客或股东的参与(yǔ)和信息安全的专家建议(yì)。在信息系统设(shè)计阶段就将安全(quán)要求和(hé)控(kòng)制一体化考虑,则成本会(huì)更低、效率(lǜ)会(huì)更高(gāo)。
BS7799的(de)信(xìn)息(xī)管理过程(chéng):
①确定信息安全(quán)管理(lǐ)方针。
②确定 ISMS( 信(xìn)息安全管理体系) 的范围(wéi)
③进行风险分析。
④选(xuǎn)择控制目标(biāo)并(bìng)进行控制。
⑤建立业务持(chí)续计划。
⑥建立并实施安全管理(lǐ)体系。
建立信息安全(quán)管理体系的作用:
任何组织,不论它在(zài)信(xìn)息技术方面如何努力以及(jí)采纳如(rú)何新的信息(xī)安全技(jì)术,实际(jì)上在(zài)信(xìn)息安全管理方面都还(hái)存在(zài)漏(lòu)洞(dòng),例如:
· 缺少(shǎo)信息安全管理论坛,安(ān)全导向不明确,管(guǎn)理支持不明显(xiǎn);
· 缺少跨部门的信息(xī)安全协调机制;
· 保护特定资产以及完成(chéng)特定(dìng)安全过程(chéng)的(de)职责(zé)还不明确(què);
· 雇员信息安全意识薄弱(ruò),缺少防(fáng)范意识,外(wài)来人员很容易直(zhí)接(jiē)进入生产和工作(zuò)场所;
· 组织信息系统管理制度(dù)不够健全;
· 组(zǔ)织(zhī)信息系(xì)统主机房安全存在(zài)隐患(huàn),如(rú):防火(huǒ)设施存(cún)在问题(tí),与(yǔ)危险品仓(cāng)库同处一幢(zhuàng)办公楼等(děng);
· 组织信(xìn)息系(xì)统备份设备仍有欠(qiàn)缺;
· 组织(zhī)信息(xī)系统安全防(fáng)范技术投入欠(qiàn)缺;
· 软件知识产权保(bǎo)护欠缺;
· 计(jì)算机房(fáng)、办公场所等物理防范(fàn)措施欠(qiàn)缺;
· 档(dàng)案、记录等缺少可靠贮存(cún)场所;
· 缺少一(yī)旦(dàn)发生意外时的(de)保证生产经营连(lián)续性的(de)措(cuò)施和计划;
……等等。
为什么要建(jiàn)立和实施ISO27001信息安全管理体系认证(2)
其实,组织可以(yǐ)参照信(xìn)息安全管理模(mó)型,按照先进的信息安(ān)全管理标准 BS7799 标准(zhǔn)建立(lì)组织完整的(de)信息安(ān)全管理体系并实施与保持,达到动(dòng)态的、系统的、全员参(cān)与(yǔ)、制度化的(de)、以预(yù)防为主的信息安全管理方式,用较低(dī)的(de)成本,达到可(kě)接受的信息安全水平(píng),就可以从(cóng)根本上(shàng)保证业务(wù)的连续(xù)性(xìng)。组织建立、实施与保持信息安全(quán)管理体系(xì)将会产生如下作(zuò)用:
· 强化员工的信息安全(quán)意识,规范组织(zhī)信息安全行为(wéi);
· 对组织的关键(jiàn)信息资产进行全面系统的保护,维持竞争优势;
· 在信息系统(tǒng)受到侵(qīn)袭时,确保业务(wù)持续开展并将损失降到较低(dī)程(chéng)度(dù);
· 使组织的生意伙伴和客户对组织充(chōng)满信心;
· 如果(guǒ)通过体系认(rèn)证,表明体系符合标准,证明(míng)组(zǔ)织有能力保(bǎo)障重要信息,提高组(zǔ)织的名度与信(xìn)任度;
· 促(cù)使管理层(céng)坚持贯彻信息(xī)安全保障(zhàng)体系。
BS7799标准概述:
· 1995 年(nián),英(yīng)国贸(mào)工部根据英国国内企业对信息安全日益高涨的呼(hū)声,组织(zhī)大企业的信息安全(quán)经理们,制(zhì)定了世界上第一个信息安全管(guǎn)理体(tǐ)系标准(zhǔn) BS7799-1 : 1995 《信息安(ān)全管理实(shí)施规(guī)则》,作(zuò)为(wéi)工商业和大(dà)、中、小型组织(zhī)实施信息安全管理的(de)指南(nán)。由(yóu)于该(gāi)标准采用建议和指(zhǐ)导(dǎo)方(fāng)式编写(xiě),因而不宜作为认证标准使用(yòng)。
· 1998 年,为了适(shì)应(yīng)第三方(fāng)认证的需要,英国又制定了第(dì)一个(gè)信息安全(quán)管理体系认证标准 --BS7799-2 : 1998 《信息安全管理体系规(guī)范》,作(zuò)为对一(yī)个组织的全部或部分信息(xī)安全管理体系(xì)进行(háng)评审认证的依据标准。
· 1999 年(nián),鉴于计(jì)算机和信息处理(lǐ)技术(shù),尤(yóu)其是网络和通信领域应用的迅速(sù)发展,英国又对信息(xī)安全管理体(tǐ)系标准(zhǔn)进行了修订。修订后的 BS7799-1 : 1999 和 BS7799-2 : 1999 分别取代了 BS7799-1 : 1995 和 BS7799-2 : 1998 。新修订的 1999 版标准进一(yī)步强调(diào)了组织在商务工作中所涉(shè)及的信息(xī)安全和(hé)信息安全责任。 BS7799-1 : 1999 和 BS7799-2 : 1999 是一对配套(tào)标(biāo)准, BS7799-1 : 1999 为如(rú)何(hé)建立和实施符(fú)合 BS7799-2 : 1999 标准(zhǔn)要求的信(xìn)息安全(quán)管理体(tǐ)系(xì)提供了较佳的应用建议。
· 2000 年 12 月, BS7799-1 : 1999 已经被 ISO/IEC 正式(shì)采纳(nà)成为国际标(biāo)准 -- ISO/IEC 17799 : 2000 《信息技术—信息安全管理实施(shī)规则》,另外, BS7799-2 : 1999 也即将于(yú) 2002 年(nián)底被(bèi) ISO/IEC 作为(wéi)蓝本修(xiū)订后成(chéng)为可用于认证(zhèng)的(de) ISO/IEC 的(de)《信(xìn)息安全管理体系(xì)规范(fàn)》。
信(xìn)息安全(quán)认证是实现信息安全目标的较佳途径(jìng):
BS7799-2:2002信息(xī)安全管理体系规范向组织(zhī)提出了一系列(liè)认证的要求,在总则(zé)中提出组织应建(jiàn)立(lì)并(bìng)保(bǎo)持一个文(wén)件化的信息(xī)安全管理体系,阐(chǎn)述被保护的资产(chǎn)、组织风(fēng)险管理的渠道、控制目标及(jí)控(kòng)制方式(shì)和(hé)需要的(de)保证等(děng)级;通过(guò)建立管理架构并(bìng)加以实施来达(dá)到识别控制目标和控(kòng)制方式(shì),并形成文件和(hé)记录。
BS7799-2:2002的(de)控制细则包括10个方面:
· 安(ān)全方针(zhēn):为信息安全提供(gòng)管理指导和支持;
· 组织安全:建立信息(xī)安(ān)全架构,保证组织的内部管(guǎn)理;被第三方(fāng)访问或外协时(shí),保(bǎo)障组织的信息安全;
· 资产的归类与控制:明确资产责任,保持对(duì)组织资产的适当保护;将信(xìn)息进行归类,确保信(xìn)息资产受到适(shì)当(dāng)程度的(de)保护;
· 人员安全:在工作说明和资源方面(miàn),减少因人(rén)为错误、盗窃(qiè)、欺诈和设施误用(yòng)造成(chéng)的风(fēng)险;加强用户培训,确保用户(hù)清楚知道信息安(ān)全的危险(xiǎn)性和相关事(shì)项(xiàng),以便在他们的日常(cháng)工作中支持(chí)组织的(de)安全(quán)方针;制定(dìng)安全(quán)事故(gù)或故障的反应(yīng)程(chéng)序,减少由安全事故和故障造成的损失,监控安全(quán)事件并从这种事件中吸(xī)取(qǔ)教训;
· 实物与环境安全:确定(dìng)安全(quán)区(qū)域,防(fáng)止(zhǐ)非授权访问、破坏、干扰商务场所和信息;通过保障设(shè)备安全(quán),防止资产的丢(diū)失、破坏、资产(chǎn)危害及商务活动的中(zhōng)断;采用通用的控制方式,防(fáng)止(zhǐ)信息或信息处理设施损坏(huài)或失窃;
· 通信(xìn)和操作方式管(guǎn)理:明(míng)确操作程(chéng)序及其责任,确保信息处理设施的正确、安全操作(zuò);加强系统策划与(yǔ)验收,减(jiǎn)少系统失效风险;防范恶意软件(jiàn)以保持软件和信息的完(wán)整性;加强内务(wù)管理以保持信息处理和通讯服务的完整性和(hé)有效性通过 ; 加强网(wǎng)络管理确保网络中的信息安全及其辅助(zhù)设施受(shòu)到保护;通过保护媒体处理的安全 , 防止资产损坏和(hé)商务活动的中(zhōng)断;加强信息和软(ruǎn)件的交(jiāo)换的管理,防止组织间在交换信息时发生丢失、更改和(hé)误用;
· 访问控制(zhì):按照访问控制(zhì)的商(shāng)务要求,控制信息访(fǎng)问;加强用户访(fǎng)问管理,防(fáng)止非授权访问信息系(xì)统(tǒng);明确用户职责,防止非授权的用(yòng)户访问;加强(qiáng)网络访问控制(zhì),保护网络服务(wù)程序(xù);加强操作系统访(fǎng)问控制(zhì) , 防止非授权的计算机访问;加强(qiáng)应(yīng)用访问控制(zhì),防止非授权访问系统中的信息;通过监控(kòng)系(xì)统的访问与(yǔ)使(shǐ)用,监测非授权行为;在(zài)移动式(shì)计算(suàn)和(hé)电传工作方面 , 确保使用移(yí)动式(shì)计算和电传工(gōng)作设(shè)施的信息安全;
· 系统开发与维护:明确系统安全要求,确保安全(quán)性已构(gòu)成信息系(xì)统的一部份(fèn);加强应(yīng)用系统的安全,防(fáng)止应用系统用户数据的丢失、被修改或误用;加(jiā)强(qiáng)密码技术控制,保(bǎo)护信息的保密性、可靠性(xìng)或完整性;加强系统(tǒng)文件的(de)安全,确保 IT 方案及其支持(chí)活动以安(ān)全的(de)方式进(jìn)行;加强开发和支持过(guò)程的安全,确保应用(yòng)系统软件(jiàn)和信息的安全;
· 商(shāng)务(wù)连续性管理:防止(zhǐ)商务活动的中断及(jí)保护关键(jiàn)商务过程不受重大失误或灾难事故的(de)影响;
· 符(fú)合:符合法律法(fǎ)规要求,避免刑法(fǎ)、民(mín)法(fǎ)、有(yǒu)关法令法规或合同约定事宜及其他安全要求的规定相抵触;加强安全方(fāng)针和技术(shù)符(fú)合性评审,确保体(tǐ)系按(àn)照组织的安全方针及标准执行;系统审核考虑因素,使效果较大化 , 并使系统审核过程的影响较小化。
在国际标准 ISO/IEC17799 给出了为实现(xiàn)信息安全认证所需的各项措施的详细(xì)指导(dǎo),具有很强的可操(cāo)作性和指(zhǐ)导(dǎo)性。
归根结底,信息安全工作(zuò)的目的就是在(zài)法律、法规、政策的(de)支(zhī)持与指导(dǎo)下,通(tōng)过采用合(hé)适的安全技(jì)术与安全管理措施,提供安全需求的保证,而 BS7799 信息安全认证标准正是总和(hé)了这些要求。组织(zhī)可以根据(jù)自身(shēn)特点,在(zài) ISO/IEC 17799 指(zhǐ)导下,实(shí)现信息安全的要求。
ISO27001:2005 《信息安全(quán)管(guǎn)理(lǐ)体系要求》
ISO27001 : 2005 《信(xìn)息安全(quán)管理体系要求》是(shì)关于(yú)信息安全管理的标准,是标准不(bú)是方(fāng)法,达到(dào)这些标(biāo)准(zhǔn)的要(yào)求(qiú)并(bìng)不难,重要的是用什么(me)方法去实(shí)现。企业应将实施标准作为改善内部管理的一次(cì)机会,不应该将标准做(zuò)为一种简(jiǎn)单的模式对现有流程运作进行套用,应对现(xiàn)有的组织运作(zuò)流(liú)程进行详细分(fèn)析,有针对性地设计并改(gǎi)善现有管理体系、改善薄弱环节、改善运(yùn)作流程(chéng)及内部沟通(tōng),并有效地将先进的管(guǎn)理思(sī)想(xiǎng)融合到具体的(de)实(shí)施(shī)程序(xù)中,才能发挥标准的(de)真正作用。
获得认证证书不(bú)是(shì)较终目的,建立有责、有序(xù)、有效的(de)信息安全管理(lǐ)体系,提(tí)高员工的(de)信息(xī)安全意识,不断获取并运用先进的管理方法和(hé)技术手段才能使企(qǐ)业的信息(xī)安全管理水平得(dé)以持续的发展和提(tí)升。