什么是信息安全管理體系以及相關認證BS7799

信息是一種資產，一旦損毀、丟失、或被不適當地曝光，會給組織帶來一系列的損失，如“冰山原理”所描述，我們能直接感知到的數據的丟失，只是整體損失的冰山一角，潛藏在水面下的部分，可能會是直接損失的6~53倍，這包括：損失了時間，替代的成本，可能的法律風險，聲譽受損，丟失潛在的業務，競爭力和生產力受損等等。這些損失是我們不愿意面對的，因此信息安全越來越成為我們關注的熱點問題。
　　三根支柱　不可偏廢

　　信息安全的問題倍受關注，是信息技術發展到一定水平，信息化深入到一定程度之后的一個必然趨勢和結果。信息對于業務的重要性，或者講業務對于信息的依賴性，使得信息安全問題尤為突出，另外一個方面，信息媒介的多樣性，信息傳播的廣泛性等因素也造就了保護信息安全的復雜度。因此如何來保護信息安全，怎么樣才能保護信息安全，成為技術廠商、管理專家經常探討和論述的話題。

　　我們知道保障信息安全有三個支柱，一個是技術、一個是管理、一個是法律法規。而我們日常提及信息安全時，多是在技術相關的領域，例如IDS入侵檢測技術、Firewall防火墻技術、Anti-Virus防病毒技術、加密技術、CA認證技術等等。這是因為信息安全技術和產品的采納，能夠快速見到直接效益，同時，技術和產品的發展水平也相對較高，此外，技術廠商對市場的培育，不斷提升著人們對信息安全技術和產品的認知度。雖然大家在面對信息安全事件時總是在嘆息：“道高一尺、魔高一丈”，在反思自身技術的不足，實質上人們此時忽視的是另外兩個層面的保障。

　　國家的法律法規方面，有專門的部門在研究和制定和推廣，不是本文探討的主題，我們要討論的是，誰來關注管理對信息安全的保障呢?這要靠組織自己通過意識提高，管理水平的提升來逐步改善。

　　正如“木桶原理”所示，你的能力是由你最弱的那個環節決定的，我們發展信息安全事業，保護信息安全，也應該從上述三個方面全面考量，而不能只偏重其中的某一個部分。

　　管理體系如何架構

　　當我們考慮到用管理體系的方法來保護信息安全時，BS7799信息安全管理體系標準無疑是一個很好的幫助：

　　BS7799是一套基于最佳實踐的成功的信息安全管理體系方法，她最早由英國商務部推動，由BSI將其發展成為標準。BS7799共分兩部分，第一部分已經在2000年被采納為ISO17799，是信息安全管理實踐指南，第二部分BS7799-2是信息安全管理體系規范，換言之，第二部分告訴我們應該做什么，第一部分則提供了一些如何做或者好做法的指導。

　　從中我們可以看到，作為一個信息安全管理體系，輸入是相關方的信息安全的期望和要求，經過一個PDCA體系的循環，得到的輸出將是各相關方信息安全要求的滿足，也就是說，信息安全已經受到管理和掌控。

　　BS7799匯集了優秀企業最佳實踐，規范了10個安全控制區域，36個安全控制目標和127個安全控制措施。她以風險評估為基礎，自頂向下的管理方法，從組織、人員、流程、技術、法律法規、永續經營等全方位實施的管理體系。

　　我們構建一個信息安全管理體系，需要考慮以下幾個步驟：

　　1. 定義范圍

　　2. 定義方針

　　3. 確定風險評估的方法

　　4. 識別風險

　　5. 評估風險

　　6. 識別并評估風險處理的措施

　　7. 為處理風險選擇控制目標和控制措施

　　8. 準備適用性聲明

　　而構建一個成功的信息安全管理體系的關鍵成功因素在于：

　　1. 最高領導層對管理體系的承諾；

　　2. 體系與整個組織文化的一致性，與業務營運目標的一致性；

　　3. 理清職責權限；

　　4. 有效的宣傳、培訓，提升意識，不僅要針對內部員工，也要針對合作伙伴、供應商、外包服務商等。

　　5. 盤清信息資產、明確信息安全的要求，明晰風險評估和處理的方法和流程；

　　6. 均衡的測量監控體系，持續監控各種變化，從監控結果中尋求持續改進的機會。

　　信息安全管理體系當前的發展：

　　BS7799-2可以提供認證服務，該標準是當前唯一可以提供對組織的信息安全管理體系的認證標準。在實施了一套信息安全管理體系之后，可以籍由第三方獨立認證，向社會、向公眾、向客戶證實所實施體系的有效性和效果，提供信心保障。

　　當前全球已經頒發了超過1000張證書，并且這個數字正在不斷增長中，證書主要集中在日本、英國、印度、臺灣。證書的分布主要在政府、金融、通信、電子、物流等行業。我國已經頒發證書10張，當前正處于一個蓄勢待發的階段。

　　BS7799標準已經被很多國家和地區采納為國家標準或地區標準，如日本、臺灣等地。我國在這方面的工作也在進展中。

今天通過對《什么是信息安全管理體系以及相關認證BS7799》的學習，相信你對認證有更好的認識。如果要辦理相關認證，請聯系我們吧。

中企檢測認證網提供iso體系認證機構查詢，檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息，中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規，咨詢輔導等知識。

本文內容整合網站：百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心

免責聲明：本文部分內容根據網絡信息整理，文章版權歸原作者所有。向原作者致敬！發布旨在積善利他，如涉及作品內容、版權和其它問題，請跟我們聯系刪除并致歉！

本文來源： http://www.rumin8raps.com/zs/202011/ccaa_13289.html