《信息安全管理体系认证资料》由会员分享,可在线阅读,更多相关《信息安全管理体系认证资料(14页珍藏版)》请在金锄头文库上搜索。
1、信息安全管理(ISMS)体系认证资料ISO/IEC 27001:2005信息安全管理体系(ISMS)认证推介书党的十七大提出了“工业化、信息化、城镇化、市场化和国际化”的“五化并举”,以及“信息化 和工业化”的“两化融合”两大课题,国务院国资委国信办在关于加强中央企业信息化建设的指导意 见中指出到2010年要基本实现中央企业信息化向整个企业集成、共享、协同的转变,建成集团统一集 成的信息系统。国资委已经着手把信息化纳入到中央企业的绩效考核的主要内容。信息化建设在我国经济和社会进步方面已经发挥了巨大的推动作用,特别是近几年计算机网络技术 的蓬勃发展,通过信息化手段更好地保证了经济建设的顺利发展。
2、信息技术已经渗透到了人类社会的每 一个角落,融入了人们的生活的每一个细节。无处不在的信息技术孕育着无处不在的风险,计算机病毒、 黑客入侵、垃圾邮件、商业秘密失窃等事件的调查和报道中,我们不难看出信息安全建设的迫切性。根据国民经济与社会发展第十一个五年规划纲要的要求,为促进服务外包产业快速发展,优化 出口结构,扩大服务产品出口,商务部决定实施服务外包“千百十工程”,对符合条件且取得信息安全 管理体系(ISO/IEC 27001:2005标准)认证的中小型服务外包企业给与一定的市场开拓资金奖励。国家 税务总局也提出了建设税务系统信息安全管理体系的总体目标,部署实施包括“一个平台、两级处理、 三个覆
3、盖、四个系统”的金税工程。为满足信息安全保障不断增长的需求,信息安全管理体系(ISMS)认证应运而生。华夏认证中心有 限公司有幸成为英国皇家认可委员会(UKAS)在中国认可的第一家同时也是目前国内机构中唯一一家信 息安全管理体系认证机构和国家信息安全管理体系认证机构的试点机构。自2005年以来,华夏认证中心 有限公司本着“公正、公开、求真、求实”的准则,积极开发和探索在信息安全管理体系认证方面的技 术和知识,投入专门管理和技术人员潜心研究,取得了初步成果。在计算机领域、金融业、制造业、电 力行业和政府信息中心等机构成功实施了信息安全管理体系认证,积累了丰富且宝贵的经验,为今后向 各行各业提供优
4、质的信息安全管理体系认证奠定了基础。我们会在下一步的工作中更好的研究认证规范以及新版的ISO/IEC27001标准,利用新品给中心的认 证工作带来机遇和挑战,努力拼搏为我们的企业提供一流的信息安全管理体系的认证审核服务。组织信息安全管理体系建设的必要性“信息”作为一种商业资产,其重要性也是与日俱增。信息安全,按照国际标准化组织提出的ISO/IEC 27000中的概念,需要保证信息的保密性、完整性和可用性。时至今日,“信息”作为一种商业资产,其所拥有的价值对于一个组织而言毋庸置疑,重要性也是 与日俱增。信息安全,按照国际标准化组织提出的ISO/IEC 27000中的概念,需要保证信息的“保密性”
5、、 “完整性,和“可用性,。通俗地讲,就是要保护信息免受来自各方面的威胁,从而确保一个组织或机 构可持续发展。组织面临的问题组织对于信息系统依赖性不断增长,以及在信息系统上运作业务的风险,使得信息安全越来越得到 重视。然而事实上,目前组织所面对的信息安全状况愈加复杂。病毒木马、非法入侵、数据泄密、服务瘫 痪、漏洞攻击等安全事件时有发生。从便携设备到可移动存储,再到智能手机、PDA,以及无线网络等, 安全问题出现的途径也是千奇百怪。每一项新技术,每一类新产品的推广伴随着新的问题。组织在面临 着日趋复杂的威胁的同时,遭受的攻击次数也日益增多。正因为如此,信息安全管理体系标准(ISO/IEC2700
6、0)的出现成为历史必要,该标准经过十多年的发 展,已经形成了一个完整规范的体系。对组织而言,建立信息安全管理体系,是一个非常系统的过程, 从资产评估、风险分析、引入控制到后期的改进,呈现出一个非常逻辑的架构。通过对大型组织CIO的调查显示,他们普遍面对的问题是,“我们很清楚的知道内部的安全风险问 题,可是我们不知道怎么去识别并规避风险。因此我们迫切希望引入信息安全管理体系,甚至于去获得 认证。”可以说,信息安全管理体系的建立和健全,目的就是降低信息风险对经营带来的危害,并将其投资 和商业利益最大化。信息安全管理体系标准2005年改版后的ISO/IEC 27001共有133个控制措施,39个控制
7、目标,11个安全域。其中11个安 全域包括:1)安全策略2)信息安全的组织3)资产管理4)人力资源安全5)物理和环境安全6)通信和操作管理7)访问控制8)系统采集、开发和维护9)信息安全事故管理10)业务连续性管理11)符合性可见,信息安全不仅仅是个技术问题,而是管理、章程、制度和技术手段以及各种系统的结合。实 现信息安全不仅需要采用技术措施,还需要借助于技术以外的其它手段,如规范安全标准和进行信息安 全管理。因此,组织在选择合作伙伴的时候,就该找那种理解需求、真正能帮助解决问题的,只有那种有着 多年的培训和项目经验、丰富的服务和产品的公司,才够格成为可信任的伙伴。普通的顾问公司,常常就是提供
8、培训、解决方案,折腾一通后,再推荐一些产品。而产品的实际效 能如何,是否能有效解决问题,顾问公司并不清楚。而厂商,总是会推销一大堆产品给组织,而这些产品是否真的符合组织实际要求,成为各方争论的 焦点。这些产品之间,或者会有功能重叠,又或者会有冲突和兼容性问题。解决方案参照ISO/IEC 27001,总结出了完整的信息安全模型。依据模型,组织可以得到一个细致的流程, 再也不用摸黑走路。通过培训,为客户提供高端的信息安全培训与评估服务,识别出信息资产以及存在的风险,找出所 存在的问题和深层次的需求,以便明确后续应采取什么行动去解决问题。可以采用相关安全产品,能保护组织的任意区域,如移动用户、远程分
9、支、内部网络、很难管理的 桌面和服务器、个人的行为状况等。具有完善的功能模块,有防火墙、VPN、IPS/IDS、内容过滤、网络 行为管理等。利用这些功能模块,组织能全局有效地管理安全,并跨系统、平台和区域实施一致的策略。委托运营,针对一些自我管理和技术能力不强的组织,委托运营是其最佳选择。组织不再被具体的 细节拖入泥沼中,只需提出问题和希望的结果,所有的中间过程都由委托承担者完成。后续服务,安全管理的实现肯定是个长期的过程,那种完成项目就开溜的做法,对组织来说是种灾 难。只有通过后续的服务,不断地改进,不断地发现新问题,才能推动目标不断地前进。总之,我们欣喜的看到,国内组织通过积极努力,探索寻
10、求整体解决方案,增强了组织主动管理其 信息安全的能力,降低组织信息所面临的风险。结语建立信息安全管理体系并获得认证,能提高组织自身的安全管理水平,将组织的安全风险控制在可 接受的范围内,减少因安全事件带来的破坏和损失。更重要的,是可以保证组织业务的持续性。另一方面,合作在如今的商业社会是非常普遍。如果组织能向客户及利益相关方展示对信息安全的 承诺,不但能增强合作伙伴、投资方的信心,也可以向政府及行业主管部门证明对相关法律法规的符合, 并能得到国际上的认可。信息安全管理及相关标准简介一、社会发展对信息资源的依赖程度人类正进入信息化社会,社会发展对信息资源的依赖程度越来越大,从人们日常生活、组织运
11、作到 国家管理,信息资源都是不可或缺的重要资源,没有各种信息的支持,现代社会将不能生存和发展。在 信息社会中,一方面信息已成为人类重要资产,在政治、经济、军事、教育、科技、生活等方面发挥着 重要作用,另一方面计算机技术的迅猛发展而带来的信息安全问题正变得日益突出。由于信息具有易传 播、易扩散、易毁损的特点,信息资产的比传统的实物资产更加脆弱,更容易受到损害,使组织在业务 运作过程中面临大量的风险。其风险主要来源于组织管理、信息系统、信息基础设施等方面的固有薄弱 环节,以及大量存在于组织内、外的各种威胁,因此对信息系统需要加以严格管理和妥善保护。信息可以理解为消息、情报、数据或知识,它可以以多种
12、形式存在,可以是组织中信息设施中存储 与处理的数据、程序,可以是打印出来的或写出来的论文、电子邮件、设计图纸、业务方案,也可以显 示在胶片上或表达在会话中消息。所有的组织都有他们各自处理信息的形式,例如,银行、保险和信用 卡公司都需要处理消费者信息,卫生保健部门需要管理病人信息,政府管理部门存储机密的和分类信息。 无论组织对这些信息采用什么样的共享、处理和存储方式,都需要对敏感信息加以安全、妥善的保护, 不仅要保证信息处理和传输过程是可靠的、有效的,而且要求重要的敏感信息是机密的、完整的和真实 的。为达到这样的目标,组织必须采取一系列适当的信息安全控制措施才可以使信息避免一系列威胁, 保障业务
13、的连续性,最大限度地减少业务的损失,最大限度地获取投资回报。在ISO27002中,对信息的定义更确切、具体:“信息是一种资产,像其他重要的业务资产一样, 对组织具有价值,因此需要妥善保护”。通过风险评估与控制,不但能确保企业持续营运,还能减少企 业在面对类似911事件之时出现的危机。二、信息安全的内容网络技术的发展加速了信息的传输和处理,缩短了人们之间的时空距离,方便了交流;同时对信息安 全提出了新的挑战。据统计,全球平均20秒就发生一次计算机病毒入侵;互联网上的防火墙大约25%被 攻破;窃取商业信息的事件平均以每月260%的速度增加;约70%的网络主管报告了因机密信息泄露而受损 失。国与国之
14、间的信息战问题更是关系到国家的根本安全问题。信息安全已扩展到了信息的可靠性、可用性、可控性、完整性及不可抵赖性等更新、更深层次的领 域。这些领域内的相关技术和理论都是信息安全所要研究的领域。国际标准化组织(ISO)定义信息安全是 “在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原 因而遭到破坏、更改和泄露”。信息安全一般包括实体安全、运行安全、信息安全和管理安全四个方面的内容。实体安全是指保护计算机设备、网络设施以及其他通讯与存储介质免遭地震、水灾、火灾、有害气 体和其它环境事故(如电磁污染等)破坏的措施、过程。运行安全是指为保障系统功能的安全实现,提
15、供一套安全措施(如风险分析、审计跟踪、备份与恢 复、应急措施)来保护信息处理过程的安全。信息安全是指防止信息资源的非授权泄露、更改、破坏,或使信息被非法系统辨识、控制和否认。 即确保信息的完整性、机密性、可用性和可控性。管理安全是指通过信息安全相关的法律法令和规章制度以及安全管理手段,确保系统安全生存和运 营。美国国家电信与信息系统安全委员会(NTISSC)主席、美国C3I负责人、前国防部副部长Latham D C认为,信息安全(INFOSEC)应包括以下六个方面:通信安全(COMSEC)计算机安全(COMPUSEC)符合瞬时电磁脉冲辐射标准(TEMPEST)传输安全(TRANSEC)物理安全
16、(Physical Security)人员安全(Personnel Security)综上所述,信息安全的主要内容包括:机密性(Confidentiality)、完整性(Integrity)、可用性 (Availability)、真实性(Authenticity)和有效性(Utility)。在BS7799中信息安全主要指信息的机密性(Confidentiality) 完整性(Integrity)和可用性 (Availability)的保持。即指通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织 管理措施,来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中,信息的机密性、 完整性和可用性不被破坏。机密性是指确保只有那些被授予特定权限的人才能够访问到信息。信
