一、ISO27001信息安全管理体系介绍
信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Interne的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、 黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等,这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。所以,在运用现代信息系统中来的快捷、方便的可时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。
俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁严重性认识不足,缺乏明确的信息安全营理方针和完整的信息安全管理制度,如系统的运行、维护、开发等岗位不清,职责不分存在一人身兼数职的现象, 这些都是造成信意安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发以确保组织的信意系统和业务数据的安全性。
二、为什么需要信息安全管理体系
1、信息、信息处理过程及信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对 保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。
2、组织对信息系统和信息服务的依赖意味着更易受到 安全威胁的破坏。
3、许多信息系统本身安全有其局限性,在信息系统设计阶段就将安全要求和控制进行一体化考虑, 则成本会更低,效率会更高。
三、ISO27001标准内容简介
目前,在信息安全管理体系方面,ISO/IEC 27001:2013 - -信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。
ISO27001: 2013标准包括14个控制域、35个控制目标和114项控制措施,为组织提供全方位的信息安全保障。主要的14个控制域包括: 1、 信息安全方针和策略; 2、信息安全组织3、人力资源安全; 4、资产管理;5、访问控制; 6、密码; 7、物理和环境安全; 8、操作安全9、通信安全; 10、系统获取开发和维护; 11、 供应商关系: 12、信息安全事件管理; 13、业务连续性管理的信息安全方面; 14、 符合性。
四、ISO27001建立的目的
有一套“量体裁衣”的信息安全管理控制措施和保护信息资产的制度框架
形成了高层管理人员与技术负责人进行信息安全沟通的共同语言
使组织将IT策略和组织发展方向统一起来, 确保与1T相关的风险受到适当的控制
通过方针、惯列、程序、组织结构和软件功能来确定控制方式并实施控制,持续提高组织信息安全管理水平
降低信息安全对持续发展造成的风险,利用信息技术为组织创造新的战路竞争机遇
根据控制费用与风险平衡的原则合理选择安全控制方式
使信息风险的发生概率和结果降低到可接受收水平,保持组织业务运作的持续性
五、ISO27001信息安全管理体系申请和受理条件
具有法律地位
从业条件中,有行政许可要求的,应取得相应资格并在有效期内
产品及过程符合国家相关法律法规和标准要求
建立了文件化的管理体系
管理体系运行三个月以上
本年度无重大与拟申请认证流域相关的责任事故
至少进行过一次管理体系内部审核与管理评审,且内审覆盖申请范围所有的产品、过程场所和认证标准要求
