收藏
下载资源

信息安全管理体系简介

上传人:夏** 文档编号:503120926 上传时间:2023-06-14 格式:DOC 页数:15 大小:31.50KB
返回 下载 相关 举报
信息安全管理体系简介_第1页
第1页 / 共15页
信息安全管理体系简介_第2页
第2页 / 共15页
信息安全管理体系简介_第3页
第3页 / 共15页
信息安全管理体系简介_第4页
第4页 / 共15页
信息安全管理体系简介_第5页
第5页 / 共15页
点击查看更多>>
资源描述

《信息安全管理体系简介》由会员分享,可在线阅读,更多相关《信息安全管理体系简介(15页珍藏版)》请在金锄头文库上搜索。

1、信息安全管理体系简介12020年5月29日文档仅供参考信息安全管理体系简介一、ISO 27001的产生背景和发展历程ISO 27001源于英国标准BS7799的第二部分,即BS7799-2 。英国标准BS7799是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定各类信息系统通用控制范围的唯一参考基准,而且适用于大、中、小组织。1998年英国公布标准的第二部分,它规定信息安全管理体系要求与信息安全控制要求,它

2、是一个组织的全面或部分信息安全管理体系评估的基础,它能够作为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,特别是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。 12月,BS7799-1:1999经过了国际标准化组织ISO的认可,正式成为国际标准-ISO/IEC 17799: 。 6月,ISO 对ISO/IEC 17799进行了改版,新版标准为 ISO/IEC 17799: 。 ,BSI对BS7799-2: 进行了改版,发布了 BS7799-2: 。 10月,BS7799-2: 经过

3、了国际标准化组织ISO的认可,正式成为国际标准 ISO/IEC 27001: 。ISO 27001发展历程简要归纳如下:n 1993年,BS 7799标准由英国贸易工业部立项。n 1995年,BS 7799-1首次出版,标准提供了一套综合的、由信息安全最佳惯例组成的实施细则,其目的是作为确定各类信息系统通用控制范围的唯一参考基准,而且适用于大、中、小型组织。n 1998年,英国公布BS 7799-2,本标准规定信息安全管理体系要求与信息安全控制要求,它是一个组织信息安全管理体系评估的基础,能够作为认证的依据。n 1999年,在BSI/DISC(British Standards Institu

4、te/Delivering Information Solutions to Customers) BDD/2的指导下对BS 7799这两部分进行了修订和扩展,取代了BS 7799-1:1995和BS 7799-2:1998。BS 7799:1999涵盖了以前版本的所有内容,并在原有的基础上扩展了新的控制,新版本考虑了信息处理技术,特别是在网络和通信领域应用的最新发展,例如电子商务、移动计算、远程工作等领域的控制。n 12月,BS 7799-1:1999经过了国际标准化组织ISO的认可,正式成为国际标准ISO/IEC 17799: 。n ,为了与其它管理标准协调一致,例如ISO 9001: 和

5、ISO 14001:1996,以及引入并应用PDCA过程模式,以建立、实施组织的信息安全管理体系,并持续改进有效性,BSI对BS 7799-2:1999进行了修订,于 9月5日发布BS 7799-2: 。n 6月,ISO对ISO/IEC 17799: 进行了修订,发布为 ISO/IEC 17799: 。 n 10月,BS 7799-2: 经过了国际标准化组织ISO的认可,正式成为国际标准ISO/IEC 27001: 。ISO27001是什么?ISO27001是有关信息安全管理的国际标准。最初源于英国标准BS7799,经过十年的不断改版,终于在 被国际标准化组织(ISO)转化为正式的国际标准,于

6、 10月15日发布为ISO/IEC 27001: 。该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的安全管理。其正式名称为: ISO 27000系列标准介绍 ISO已为信息安全管理体系标准预留了ISO/IEC 27000系列编号,类似于质量管理体系的IS9000系列和环境管理体系的ISO14000系列标准。 规划的ISO27000系列包含下列标准ISO 27000 原理与术语Principlesandvocabulary ISO27001信息安全管理体系要求ISMSRequirements(以BS77

7、99-2为基础) ISO27002信息技术安全技术信息安全管理实践规范(ISO/IEC17799: ) ISO27003信息安全管理体系风险管理ISMSRiskmanagement ISO27004信息安全管理体系指标与测量ISMSMetricsandmeasurement ISO27005信息安全管理体系实施指南ISMSImplementationguidelines其中ISO27001: 的最终标准草案(FDIS)已经在 7月发布,预计在 底或 初作为正式国际标准发布。 ISO27001是ISO27000系列的主标准,类似于ISO9000系列中的ISO9001,各类组织能够按照ISO270

8、01的要求建立自己的信息安全管理体系(ISMS),并经过认证。当前的有效版本是BS7799-2: 。当ISO27001正式发布后,BS7799-2: 将被撤销。 注:上述标准以ISO发布的为准。 二、为什么需要信息安全 信息及信息安全信息像其它重要的商务资产一样,也是一种资产,对一个组织而言具有价值,因而需要被妥善保护。信息安全使信息避免一系列威胁,保障了组织商务的连续性,最大限度地减小组织的商务损失,顺利获取投资和商务回报。信息能够以多种形式存在。它能够是打印或写在纸上(如:书面的财务报表等);电子形式存贮(如:一个组织ERP系统的备份磁带);经过邮件或用电子手段传输;显示在胶片上;表示在会

9、话中。不论信息采用什么方式或采取什么手段共享和存贮,因为它有价值,应该得到妥善的保护。信息安全主要体现在以下三个方面: 一是保密性。保密性是指确保信息资料,特别是重要的信息资料,不流失,不被非本部门人员非法盗用。比如银行的储户信息,医院的病人就医资料,政府机关、安全部门的机密文件,企业的客户资料、商务信息、专利、专有技术资料等等,应该给谁看,不应该给谁看,什么级别/部门的人员能够看什么密别的信息资料,如何储存保管,都应制定具体的措施、规范,以防止因信息流失而造成不良影响和重大经济损失。 二是完整性。所谓信息资料的完整性,是指信息资料不丢失、不少缺。比如采取一定的措施防止存贮在电脑中的磁盘文件不

10、因操作不当或病毒的侵袭而导致文件的残缺或丢失。再如防止存贮的打印文件因霉变、虫蛀而残缺、损坏,防止水灾、火灾、?而毁损文件和资料等。 三是可用性。可用性是指当需要某一信息资料时,可马上拿得到。比如采取一定的措施,防止因某一资料员不在场或其它例外情况下,因为拿不到所需的资料而导致停工或错失商机等。 ISO 27001标准把信息资料看作是公司的资产,其对公司的生存与发展起着关键作用,特别是在知识经济和电子信息时代,确保信息安全更是非常有必要的。英国曾做过一项统计,80%的信息资料的损失是与人为因素有关的。因此防止人为因素造成的信息风险被作为信息安全的主要控制对象。 ISO 27001信息安全管理体

11、系一个重要的方面是对信息风险的分析与管理。信息风险涉及可能造成信息损失的方方面面。比如电脑病毒有导致信息资料丢失或损坏的危险,可规定定期进行电脑病毒的检查;外来人员进入本公司,有导致信息资料失窃的危险,可规定采用门口设密码、电子卡等方式进入公司;更新电脑软件有导致信息资料无法读取的风险,可规定在进行电脑软件的更新时对电脑软件的兼容性进行评估;聘请外公司人员为本公司工作,本公司信息资料有流失的危险,在这种情况下须与外公司人员签订保密协议;在审核磁盘资料时,有可能导致磁盘文件被更改,可设置程序保证审核人员使用只可读不可改的文件或备份文件;以及防止内部人员和工业?的窃取,拷贝的软盘与电脑分别存放于不

12、同的房间,作废的文件资料监视销毁等。 信息安全是经过执行一套适当的控制来达到的。能够是方针、惯例、程序、组织结构和软件功能来实现,这些控制方式需要确定,才能保障组织特定的安全目标的实现。 信息安全的重要性 信息及其支持过程的系统和网络都是组织的重要资产。信息的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。 任何组织及其信息系统(如一个组织的ERP系统)和网络都可能面临着包括计算机辅助欺诈、刺探、阴谋破坏行为、火灾、水灾等大范围的安全威胁。随着计算机的日益发展和普及,计算机病毒、计算机?、服务器的非法入侵破坏已变得日益普遍和错综复杂。 当前一

13、些组织,特别是一些较大型公司的业务已经完全依赖信息系统进行生产业务管理,这意味着组织更易受到安全威胁的破坏。组织内网络的互连及信息资源的共享增大了实现访问控制的难度。 有些组织的信息系统尽管在设计时可能已考虑了安全,但仅仅依靠技术手段实现安全依然是有限的,还应当经过管理和程序来支持。 建立信息安全管理体系(ISMS)对任何组织都具有重要意义任何组织,不论它在信息技术方面如何努力以及采纳如何新的信息安全技术,实际上在信息安全管理方面都还存在漏洞,例如:1. 缺少信息安全管理论坛,安全导向不明确,管理支持不明显;2. 缺少跨部门的信息安全协调机制;3. 保护特定资产以及完成特定安全过程的职责还不明

14、确;4. 雇员信息安全意识薄弱,缺少防范意识,外来人员很容易直接进入生产和工作场所;5. 组织信息系统管理制度不够健全;6. 组织信息系统主机房安全存在隐患,如:防火设施存在问题,与危险品仓库同处一幢办公楼等;7. 组织信息系统备份设备仍有欠缺;8. 组织信息系统安全防范技术投入欠缺;9. 软件知识产权保护欠缺;10. 计算机房、办公场所等物理防范措施欠缺;11. 档案、记录等缺少可靠贮存场所;12. 缺少一旦发生意外时的保证生产经营连续性的措施和计划;.等等 经过以上信息管理方面的漏洞以及经常见诸报端的种种信息安全事件表明,任何组织都急需建立信息安全管理体系,以保障其技术和商业机密,保障信息的完整性和可用性,最终保持其生产、经营活动的连续性。 建立信息安全管理体系的意义 组织能够参照信息安全管理模型,按照先进的信息安全管理标准ISO 27001标准建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,使信息风险的发生概率和结果降低到可接受水平,并采取措施保证业务不会因风险的发生而中断。组织建立、实施与保持信息

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 工作计划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号