|
|
ISO27001信息安全管理體系標準相關(guān)知識 信息是組織的血液,存在的方式多種多樣?梢允谴蛴,手寫,也可以是電子,演示和口述的。當今商業(yè)競爭日趨激烈,來源于不同渠道的信息,威脅到信息的一致性。它們來自內(nèi)部,外部,意外的,還可能是惡意的。隨著信息儲存,發(fā)送新技術(shù)的廣泛使用,我們面臨的各種風險也在增高。信息安全越來越重要!信息安全不是有一個終端防火墻,或找一個24小時提供信息安全服務的公司就可以達到的。它需要全面的綜合管理。信息安全管理體系的引入,可以協(xié)調(diào)各個方面信息管理,使管理更為有效。信息安全管理體系是系統(tǒng)的對組織敏感信息及信息資產(chǎn)進行管理,涉及到人,程序和信息科技(IT)系統(tǒng)。需要建立廣泛的信息安全方針。保證安全性,公正性。適用組織內(nèi)部和客戶。信息安全管理體系ISMS正成為世界上管理體系標準銷售增長量最大的產(chǎn)品。 信息安全管理體系(Information security management systems,簡稱ISMS)(即ISO/IEC 27000系列)是目前國際信息安全管理標準研究的重點。 二、為什么需要信息安全?信息及其支持過程、系統(tǒng)和網(wǎng)絡(luò)都是重要的業(yè)務資產(chǎn)。定義、實現(xiàn)、保持和改進信息安全對保持競爭優(yōu)勢、現(xiàn)金周轉(zhuǎn)、贏利、守法和商業(yè)形象可能是至關(guān)重要的。各組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨來自各個方面的安全威脅,包括計算機輔助欺詐、間諜活動、惡意破壞、毀壞行為、火災或洪水。諸如惡意代碼、計算機黑客搗亂和拒絕服務攻擊等導致破壞的安全威脅,已經(jīng)變得更加普遍、更有野心和日益復雜。信息安全對于公共和專用兩部分的業(yè)務以及保護關(guān)鍵基礎(chǔ)設(shè)施是非常重要的。在這兩部分中信息安全都將作為一個使動者,例如實現(xiàn)電子政務或電子商務,避免或減少相關(guān)風險。公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)的互連、信息資源的共享都增加了實現(xiàn)訪問控制的難度。分布式計算的趨勢也削弱了集中的、專門控制的有效性。許多信息系統(tǒng)并沒有被設(shè)計成是安全的。通過技術(shù)手段可獲得的安全性是有限的,應該通過適當?shù)墓芾砗鸵?guī)程給予支持。確定哪些控制措施要實施到位需要仔細規(guī)劃并注意細節(jié)。信息安全管理至少需要該組織內(nèi)的所有員工參與,還可能要求利益相關(guān)人、供應商、第三方、顧客或其他外部團體的參與。外部組織的顧問、專家建議可能也是需要的。 |