ISO27001信息安全管理體系認證咨詢

遠望咨詢ISO27001信息安全管理體系認證咨詢

ISO27001是有關信息安全管理的國際標準。最初源于英國標準BS7799,經過十年的不斷改版,終于在2005年被國際標準化組織(ISO)轉化為 正式的國際標準,于2013年10月發布為ISO/IEC 27001:2013。該標準可用于組織的信息安全管理體系的建立和實施,保障組織的信息安全,采用PDCA過程方法,基于風險評估的風險管理理念,全面 系統地持續改進組織的安全管理。

立即咨詢

概述

ISO27001信息安全管理體系背景介紹

       信息作為組織的重要資產,需要得到妥善保護。但隨著信息技術的高速發展,特別是Internet的問世及網上交易的啟用,許多信息安全的問題也紛紛出現:系統癱瘓、黑客入侵、病毒感染、網頁改寫、客戶資料的流失及公司內部資料的泄露等等,這些已給組織的經營管理、生存甚至國家安全都帶來嚴重的影響。所以,在享用現代信息系統帶來的快捷、方便的同時,如何充分防范信息的損壞和泄露,已成為當前企業迫切需要解決的問題。

      俗話說“三分技術七分管理”。目前組織普遍采用現代通信、計算機、網絡技術來構建組織的信息系統。但大多數組織的最高管理層對信息資產所面臨的威脅的嚴重性認識不足,缺乏明確的信息安全方針和完整的信息安全管理制度,如系統的運行、維護、開發等崗位不清,職責不分,存在一人身兼數職的現象。這些都是造成信息安全事件的重要原因。缺乏系統的管理思想也是一個重要的問題。所以,我們需要一個系統的、整體規劃的信息安全管理體系,從預防控制的角度出發,以確保組織的信息系統和業務數據的安全性。

為什么需要信息安全

      信息處理過程及對信息起支持作用的信息系統和信息網絡都是重要的商務資產。信息的保密性、完整性和可用性對保持競爭優勢、資金流動、效益、法律符合性和商業形象都是至關重要的。然而,越來越多的組織及其信息系統和網絡面臨著包括計算機詐騙、間諜、蓄意破壞、火災、水災等大范圍的安全威脅,諸如計算機病毒、計算機入侵、DoS攻擊等手段造成的信息災難已變得更加普遍。組織對信息系統和信息服務的依賴意味著更易受到安全威脅的破壞,公共和私人網絡的互連及信息資源的共享增大了實現訪問控制的難度。許多信息系統本身就不是按照安全系統的要求來設計的,所以僅依靠技術手段來實現信息安全有其局限性,所以信息安全的實現必須得到管理和程序控制的適當支持。確定應采取哪些控制方式則需要周密計劃,并注意細節。信息安全管理至少需要組織中的所有雇員的參與,此外還需要供應商、顧客或股東的參與和信息安全的專家建議。在信息系統設計階段就將安全要求和控制進行一體化考慮,則成本會更低、效率會更高。

ISO27001信息安全管理體系適用范圍

      信息安全管理體系適用于所有類型的組織(例如:商業企業、政府機構、非盈利組織),包括但不限于,銀行、證券、保險等金融機構;交通、能源等大型國有企業;互聯網數據中心(IDC)服務提供商;軟件和信息技術服務企業;公共管理、社會保障和社會組織等。

ISO27001標準內容簡介

      目前,在信息安全管理體系方面,ISO/IEC 27001:2013――信息安全管理體系標準已經成為世界上應用最廣泛與典型的信息安全管理標準。

ISO27001:2013標準包括14個控制域、35個控制目標和113項控制措施,為組織提供全方位的信息安全保障。主要的14個控制域包括:

      1、信息安全方針和策略;

      2、信息安全組織;

      3、人力資源安全;

      4、資產管理;

      5、訪問控制;

      6、密碼;

      7、物理和環境安全;

      8、操作安全;

      9、通信安全;

     10、系統獲取、開發和維護;

     11、供應商關系;

     12、信息安全事件管理;

     13、業務連續性管理的信息安全方面;

     14、符合性。

信息安全認證是實現信息安全目標的最佳途徑

      信息安全管理體系規范向組織提出了一系列認證的要求,在總則中提出組織應建立并保持一個文件化的信息安全管理體系,闡述被保護的資產、組織風險管理的渠道、控制目標及控制方式和需要的保證等級并加以實施來達到識別控制目標和控制方式,并形成文件和記錄。

      在國際標準ISO/IEC 27002給出了為實現信息安全認證所需的各項措施的詳細指導,具有很強的可操作性和指導性。說到底,信息安全工作的目的就是在法律、法規、政策的支持與指導下,通過采用合適的安全技術與安全管理措施,提供安全需求的保證,而ISO 27001信息安全認證標準正是綜合了這些要求。組織可以根據自身特點,在ISO/IEC 27002指導下,實現信息安全的要求。

ISO27001信息安全管理體系實施意義

     ● 有一套“量體裁衣”的信息安全管理控制措施和保護信息資產的制度框架

     ● 形成了高層管理人員與技術負責人進行信息安全溝通的共同語言

     ● 使組織將IT策略和組織發展方向統一起來,確保與IT相關的風險受到適當的控制

     ● 通過方針、慣例、程序、組織結構和軟件功能來確定控制方式并實施控制,持續提高組織信息安全管理水平

     ● 降低信息安全對持續發展造成的風險,利用信息技術為組織創造新的戰略競爭機遇

     ● 根據控制費用與風險平衡的原則合理選擇安全控制方式

     ● 使信息風險的發生概率和結果降低到可接受水平,保持組織業務運作的持續性

:ISO20000信息技術服務管理體系認證咨詢 :已無文章 返回列表
在線咨詢
何老師:1779068240
聯系電話

400-028-9829

掃描二維碼關注公眾號

ag对打如何不被发现