信息安全ISO27001
信息安全 (Information security): 是指信息的保密性 (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。
保密性:為保障信息僅僅為那些被授權使用的人獲取。
信息的保密性是針對信息被允許訪問( Access )對象的多少而不同,所有人員都可以訪問的信息為公開信息,需要限制訪問的信息一般為敏感信息或秘密,秘密可以根據信息的重要性及保密要求分為不同的密級,例如國家根據秘密泄露對國家經濟、安全利益產生的影響(后果)不同,將國家秘密分為秘密、機密和絕密三個等級,組織可根據其信息安全的實際,在符合《國家保密法》的前提下將其信息劃分為不同的密級;對于具體的信息的保密性有時效性,如秘密到期解密等。
完整性:為保護信息及其處理方法的準確性和完整性。
信息完整性一方面是指信息在利用、傳輸、貯存等過程中不被篡改、丟失、缺損等,另一方面是指信息處理的方法的正確性。不正當的操作,如誤刪除文件,有可能造成重要文件的丟失。
可用性:為保障授權使用人在需要時可以獲取信息和使用相關的資產。
信息的可用性是指信息及相關的信息資產在授權人需要的時候,可以立即獲得。例如通信線路中斷故障會造成信息的在一段時間內不可用,影響正常的商業運作,這是信息可用性的破壞。不同類型的信息及相應資產的信息安全在保密性、完整性及可用性方面關注點不同,如組織的專有技術、市場營銷計劃等商業秘密對組織來講保守機密尤其重要;而對于工業自動控制系統,控制信息的完整性相對其保密性重要得多。
為什么需要信息安全?
信息、信息處理過程及對信息起支持作用的信息系統和信息網絡都是重要的商務資產。信息的保密性、完整性和可用性對保持競爭優勢、資金流動、效益、法律符合性和商業形象都是至關重要的。然而,越來越多的組織及其信息系統和網絡面臨著包括計算機詐騙、間諜、蓄意破壞、火災、水災等大范圍的安全威脅,諸如計算機病毒、計算機入侵、 Dos 攻擊等手段造成的信息災難已變得更加普遍 , 有計劃而不易被察覺。組織對信息系統和信息服務的依賴意味著更易受到安全威脅的破壞,公共和私人網絡的互連及信息資源的共享增大了實現訪問控制的難度。許多信息系統本身就不是按照安全系統的要求來設計的,所以僅依靠技術手段來實現信息安全有其局限性,所以信息安全的實現必須得到管理和程序控制的適當支持。確定應采取哪些控制方式則需要周密計劃,并注意細節。信息安全管理至少需要組織中的所有雇員的參與,此外還需要供應商、顧客或股東的參與和信息安全的專家建議。在信息系統設計階段就將安全要求和控制一體化考慮,則成本會更低、效率會更高。
建立信息安全管理體系的作用:
任何組織,不論它在信息技術方面如何努力以及采納如何新的信息安全技術,實際上在信息安全管理方面都還存在漏洞,例如:
缺少信息安全管理論壇,安全導向不明確,管理支持不明顯;
缺少跨部門的信息安全協調機制;
保護特定資產以及完成特定安全過程的職責還不明確;
雇員信息安全意識薄弱,缺少防范意識,外來人員很容易直接進入生產和工作場所;
組織信息系統管理制度不夠健全;
組織信息系統主機房安全存在隱患,如:防火設施存在問題,與危險品倉庫同處一幢辦公樓等;
組織信息系統備份設備仍有欠缺;
組織信息系統安全防范技術投入欠缺;
軟件知識產權保護欠缺;
計算機房、辦公場所等物理防范措施欠缺;
檔案、記錄等缺少可靠貯存場所;
缺少一旦發生意外時的保證生產經營連續性的措施和計劃;
……等等。
其實,組織可以參照信息安全管理模型,按照先進的信息安全管理標準 BS7799 標準建立組織完整的信息安全管理體系并實施與保持,達到動態的、系統的、全員參與、制度化的、以預防為主的信息安全管理方式,用最低的成本,達到可接受的信息安全水平,就可以從根本上保證業務的連續性。組織建立、實施與保持信息安全管理體系將會產生如下作用:
強化員工的信息安全意識,規范組織信息安全行為;
對組織的關鍵信息資產進行全面系統的保護,維持競爭優勢;
在信息系統受到侵襲時,確保業務持續開展并將損失降到最低程度;
使組織的生意伙伴和客戶對組織充滿信心;
如果通過體系認證,表明體系符合標準,證明組織有能力保障重要信息,提高組織的知名度與信任度;
促使管理層堅持貫徹信息安全保障體系。
信息安全認證是實現信息安全目標的最佳途徑:
ISO27001:2005 《信息安全管理體系要求》
ISO27001 : 2005 《信息安全管理體系要求》是關于信息安全管理的標準,是標準不是方法,達到這些標準的要求并不難,重要的是用什么方法去實現。企業應將實施標準作為全面改善內部管理的一次機會,不應該將標準做為一種簡單的模式對現有流程運作進行套用,應對現有的組織運作流程進行詳細分析,有針對性地設計并改善現有管理體系、改善薄弱環節、改善運作流程及內部溝通,并有效地將先進的管理思想融合到具體的實施程序中,才能發揮標準的真正作用。
獲得認證證書不是最終目的,建立有責、有序、有效、高效的信息安全管理體系,提高員工的信息安全意識,不斷獲取并運用先進的管理方法和技術手段才能使企業的信息安全管理水平得以持續的發展和提升。
今天通過對《信息安全ISO27001》的學習,相信你對認證有更好的認識。如果要辦理相關認證,請聯系我們吧。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
