欢迎来到赣州leyu和宏儒企业管理服务有(yǒu)限公司网站!
地址:赣(gàn)州市章贡(gòng)区会(huì)昌(chāng)路(lù)9号锦(jǐn)绣(xiù)锦程4栋(dòng)1202室
电话(huà):0797-8409678
传(chuán)真:0797-8409879
客服(fú)经理电话:13970722186 18970771486
邮箱:736703710@qq.com
网(wǎng)址(zhǐ):www.siliao.zhaoqing.hikvision.maoming.sys.jixi.ww38.viennacitytours.com
信息安全 (Information security): 是(shì)指信息的保密(mì)性(xìng) (Confidentiality) 、完整性 (Integrity) 和可用性(xìng) (Availability) 的(de)保持。
• 保密性:为(wéi)保障信息仅仅(jǐn)为那些被授权使用的人获(huò)取。
信息的保密性(xìng)是针(zhēn)对(duì)信(xìn)息被(bèi)允许访问(wèn)( Access )对(duì)象的多少而不同,所有人员都可(kě)以访问的信息为(wéi)公开信息,需(xū)要限(xiàn)制访问的信(xìn)息一般为敏(mǐn)感信息或秘(mì)密,秘密可以根据信息的重(chóng)要性及保密要求分为不同的密(mì)级,例如国家根据秘密泄露对国家经济、安全利益产生的影响(后果)不同,将国家秘密(mì)分为(wéi)秘密、机密和绝密三个等级(jí),组织可根据其信息安全的实际,在符合《国家保(bǎo)密法》的前提下将(jiāng)其信息(xī)划分为不同的(de)密级;对于具体(tǐ)的信息(xī)的保密性有时效性,如秘密到期解密等。
• 完整性:为保护信息及其处理方法的准确性和(hé)完(wán)整性。
信息完整性一方(fāng)面是(shì)指信息在利用(yòng)、传输、贮存等(děng)过程中不被(bèi)篡改(gǎi)、丢失、缺损等,另一方面是指信息处(chù)理的(de)方法的(de)正确性。不正(zhèng)当的操作(zuò),如误(wù)删除文件,有可能造(zào)成重要(yào)文件的丢失。
• 可(kě)用性:为(wéi)保障授权使(shǐ)用人在需(xū)要时可以(yǐ)获(huò)取信息和(hé)使用相(xiàng)关的资产(chǎn)。
信息的可(kě)用性是指信息(xī)及相关的信息(xī)资产在授权(quán)人(rén)需要的(de)时候,可以立即获得。例如通信线路中断故障会造成信息的在一段时间(jiān)内不可用(yòng),影响正常的(de)商业运作(zuò),这是(shì)信(xìn)息可用性的破坏。不同类型的信息及相应资产的信息安(ān)全在(zài)保(bǎo)密性、完整性及可用性(xìng)方面关(guān)注点不同,如组织的专有技(jì)术、市场营销计划等商业秘密对组(zǔ)织来讲保守机(jī)密尤(yóu)其重要;而对于工(gōng)业自(zì)动控制系统,控制(zhì)信息(xī)的完整性相对(duì)其保密性重要得多。
为(wéi)什么需要(yào)信息安(ān)全?
信(xìn)息、信(xìn)息处理过程及对信息起支持作用的信息系统和信息网络都是(shì)重要的商务资(zī)产。信息的保(bǎo)密性、完(wán)整性和可用性对保持(chí)竞争优势(shì)、资金流(liú)动、效益、法律符合(hé)性和商业形象都是至关(guān)重要(yào)的。然(rán)而(ér),越(yuè)来越(yuè)多的组织及其(qí)信息系统和网络面临着包括计(jì)算机诈骗(piàn)、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁,诸如计算机病毒、计算机(jī)入(rù)侵、 Dos 攻击等(děng)手段(duàn)造成的信息灾难已变得更加普遍 , 有(yǒu)计划而不(bú)易被察觉。组织对信(xìn)息系统(tǒng)和信(xìn)息(xī)服务的依赖意味着更易受(shòu)到安全威(wēi)胁的破坏,公共和私人网络的互连及信(xìn)息资源的共享增大了实现访问控制的难度(dù)。许多信(xìn)息系统本身就不(bú)是按(àn)照安全系(xì)统的(de)要求(qiú)来设计的(de),所以仅依靠技术手段来实现信息安全(quán)有其局(jú)限性,所以信息(xī)安全的实现须得到管理和程序控制(zhì)的适当支持。确(què)定应(yīng)采(cǎi)取哪些控制方式则需要周密计划,并注意细节(jiē)。信(xìn)息(xī)安全管理至少需要组织中的(de)所有雇员的参与,此(cǐ)外还需要供应商、顾客或股东(dōng)的参与(yǔ)和信息安全的(de)专家建议。在信息系统设计阶段就将安全要求和控(kòng)制一体化考(kǎo)虑(lǜ),则成本(běn)会更(gèng)低、效(xiào)率会更高。
BS7799的信(xìn)息管理过程(chéng):
①确(què)定信(xìn)息安全管(guǎn)理方针。
②确定 ISMS( 信息安全管理体(tǐ)系) 的范(fàn)围
③进行风险(xiǎn)分析。
④选(xuǎn)择控制(zhì)目标并(bìng)进行控制。
⑤建立(lì)业务持(chí)续计划。
⑥建立(lì)并实施安全管理体系。
建立信(xìn)息安(ān)全管理(lǐ)体系(xì)的作用(yòng):
任何(hé)组织,不论它在信息技术方面如何努力以及采纳如何新的信息(xī)安全技术,实际上在信(xìn)息安全管理方面都还(hái)存在(zài)漏洞,例(lì)如:
· 缺少信息安全管理(lǐ)论坛,安(ān)全导向不明确,管理支持不(bú)明显;
· 缺少跨部门的信息安全协(xié)调机(jī)制;
· 保护(hù)特定资产以(yǐ)及完(wán)成特定安全(quán)过程的职责(zé)还不明确;
· 雇员(yuán)信息安全意识薄弱,缺(quē)少防范意识,外来人员很(hěn)容易直(zhí)接(jiē)进入生产和工(gōng)作场所;
· 组织信息(xī)系统管理制度不(bú)够健全;
· 组织信息系统主机房安全存在隐(yǐn)患,如:防火设施存在(zài)问(wèn)题(tí),与危险品仓库同处一幢办公楼等;
· 组织信息系统备份设备仍有欠缺;
· 组织(zhī)信息系统安全(quán)防范技(jì)术投入欠缺;
· 软(ruǎn)件知(zhī)识产(chǎn)权保护(hù)欠缺;
· 计(jì)算机房(fáng)、办公场所(suǒ)等物理防(fáng)范(fàn)措施欠缺;
· 档案、记录等(děng)缺少可(kě)靠贮(zhù)存场(chǎng)所;
· 缺少一旦发生意外时的保证生产(chǎn)经营连续性的措施和(hé)计划(huá);
……等(děng)等。
为什么要(yào)建立和实施ISO27001信息(xī)安全管理(lǐ)体系认证(2)
其实,组织可以(yǐ)参照信息安全管理(lǐ)模型(xíng),按照(zhào)先进(jìn)的信息(xī)安全管理标准 BS7799 标准建立组(zǔ)织(zhī)完整的信息安全(quán)管理体系并实(shí)施(shī)与(yǔ)保持,达到动态的、系统的、全员参与、制度化的、以预防为(wéi)主(zhǔ)的信息安(ān)全管理方式,用较低的成本,达(dá)到可接受的信息安(ān)全水平,就可以(yǐ)从根本上保证业务的连续性。组织建(jiàn)立、实施(shī)与保(bǎo)持信息安全(quán)管理体系将会产生如下作用:
· 强化员工的(de)信息(xī)安全意识,规范组织(zhī)信息(xī)安全行为;
· 对(duì)组织(zhī)的关键信息资产进行全面系统的保护,维持竞争(zhēng)优势(shì);
· 在信息系统受到侵袭(xí)时,确保业务持(chí)续开(kāi)展并将损失降到较低程度;
· 使组织的生(shēng)意(yì)伙伴和客户(hù)对(duì)组织充(chōng)满(mǎn)信(xìn)心;
· 如(rú)果通(tōng)过体(tǐ)系认证,表明(míng)体系符合(hé)标准,证(zhèng)明组(zǔ)织有能力保障(zhàng)重要信(xìn)息,提高(gāo)组织的名(míng)度与信任度;
· 促使管(guǎn)理(lǐ)层坚持贯彻信息安全(quán)保障(zhàng)体系。
BS7799标准概(gài)述:
· 1995 年,英国贸工(gōng)部根据英国国内(nèi)企业对信息(xī)安全日益高(gāo)涨的呼声,组织大企(qǐ)业(yè)的(de)信(xìn)息安全经理们,制定了世界(jiè)上第(dì)一个信息安(ān)全(quán)管(guǎn)理体(tǐ)系标准(zhǔn) BS7799-1 : 1995 《信息安全管(guǎn)理实施规则》,作为工商业和大、中、小型组织实(shí)施信息安全管理的指南(nán)。由于(yú)该标(biāo)准采用建议和(hé)指导(dǎo)方(fāng)式(shì)编写,因而不宜(yí)作为认(rèn)证标准使用。
· 1998 年,为了适应第三方认(rèn)证的需要,英国又制定了第一个(gè)信息安全管(guǎn)理(lǐ)体系(xì)认证标准(zhǔn) --BS7799-2 : 1998 《信息安全管(guǎn)理体(tǐ)系规范》,作为(wéi)对一个组织的(de)全部或(huò)部分信息安全(quán)管理体系进行(háng)评审认证的依据标准。
· 1999 年,鉴于计算(suàn)机和信息处(chù)理(lǐ)技术,尤其是网络和通信领域应用(yòng)的迅速发展,英国又对(duì)信息(xī)安全(quán)管理体系(xì)标准进行了修(xiū)订(dìng)。修订后的 BS7799-1 : 1999 和 BS7799-2 : 1999 分别取代了 BS7799-1 : 1995 和 BS7799-2 : 1998 。新修订的 1999 版标准(zhǔn)进(jìn)一步强调了组织在商务(wù)工作中所涉及的信(xìn)息安全和信息(xī)安全责任(rèn)。 BS7799-1 : 1999 和(hé) BS7799-2 : 1999 是一对配套标准, BS7799-1 : 1999 为如何(hé)建立和实施符(fú)合 BS7799-2 : 1999 标准要求的信(xìn)息安全管理体系提供了较佳的应用建议。
· 2000 年 12 月, BS7799-1 : 1999 已经被(bèi) ISO/IEC 正(zhèng)式采纳成为国际标准 -- ISO/IEC 17799 : 2000 《信(xìn)息技术—信息安全管理实(shí)施规(guī)则》,另外, BS7799-2 : 1999 也即(jí)将于 2002 年底被 ISO/IEC 作为(wéi)蓝本修订后成为可用于认证(zhèng)的(de) ISO/IEC 的《信息(xī)安全(quán)管(guǎn)理体系规范》。
信息安全认证(zhèng)是实现信息安全目标的较佳途径:
BS7799-2:2002信息(xī)安全管理体系规范向组织提出(chū)了一系列认证的要(yào)求,在总则中提出组织应建立并保持一个(gè)文件(jiàn)化的信息(xī)安(ān)全管理体(tǐ)系,阐述(shù)被保(bǎo)护的资产、组织风险管理(lǐ)的渠道、控制目标及控(kòng)制方式和需要的保(bǎo)证(zhèng)等(děng)级;通过建(jiàn)立管理架构并加以实(shí)施来达到识别控制目标和控(kòng)制(zhì)方式,并形成(chéng)文件和记录(lù)。
BS7799-2:2002的(de)控制细则包括10个方面:
· 安(ān)全方针:为(wéi)信息安全提供管理指导和支持;
· 组织安全:建立信息安全(quán)架构,保证组织的内部管理;被第三方访问或外(wài)协时,保障组织的(de)信息安全;
· 资产的归类与(yǔ)控制:明确资产责任,保持对组织(zhī)资产的适(shì)当保护;将信(xìn)息进行(háng)归类,确保信息资产受到适当(dāng)程度的保护;
· 人员安全:在工作说(shuō)明(míng)和资源方面(miàn),减少(shǎo)因人为错误、盗窃、欺诈和设施误用造成(chéng)的(de)风险;加强用户培训,确(què)保(bǎo)用户清(qīng)楚知道信息安全的(de)危险性(xìng)和相关事项,以便在他们的日常工作中支(zhī)持组织的安全方针;制定安全事故或故(gù)障的反应程序,减少由安(ān)全事故和故(gù)障造成的损失,监控安全事件并从这种事件中吸取教训(xùn);
· 实物与环境安全:确(què)定安(ān)全区域,防止非授权(quán)访问、破坏、干(gàn)扰商(shāng)务场所和信(xìn)息;通过保障设备安全,防止资产(chǎn)的丢(diū)失(shī)、破坏、资产危(wēi)害及商务活动的中断(duàn);采用通用的控(kòng)制方式,防止信息(xī)或信息处理设施损坏或失窃;
· 通信和(hé)操作方式管(guǎn)理:明确操作程序及(jí)其责任,确(què)保信息(xī)处理设施的正确、安全操作;加强系(xì)统策(cè)划与验收,减(jiǎn)少(shǎo)系统失效风险(xiǎn);防范恶意(yì)软件以保持软件和信息的完整性;加强内(nèi)务管(guǎn)理以保持信息处理(lǐ)和(hé)通讯服务的完(wán)整性和有效性通过 ; 加强网络管理确保网络中的信息安全及其辅助设施(shī)受到保护(hù);通(tōng)过(guò)保护媒(méi)体处理的安(ān)全 , 防止资产损坏和商务活动的中断(duàn);加强信息(xī)和(hé)软件的交换的管理,防(fáng)止(zhǐ)组织间在交换信息时发生丢失、更改和误用;
· 访问(wèn)控制:按照访问控制的商务要求,控制信(xìn)息访问;加强用户访问管理,防止非授权访问信息系统;明确用户职责,防止非授权(quán)的(de)用户访问;加强网络访问(wèn)控制(zhì),保护网(wǎng)络服务程(chéng)序;加强操作系统访问控制 , 防止非授权的计算机访问;加强应(yīng)用访问控制(zhì),防止非授权访(fǎng)问系(xì)统中的信息;通(tōng)过监控系统的访(fǎng)问(wèn)与使用,监(jiān)测(cè)非(fēi)授权行为(wéi);在移动式计算和电传(chuán)工作方面 , 确保使用移(yí)动式计算和(hé)电传工作设施的信(xìn)息安(ān)全;
· 系(xì)统开发与维护:明(míng)确系统(tǒng)安(ān)全要求(qiú),确保安全(quán)性已(yǐ)构成信息系统的一部份;加强应用系统(tǒng)的安全,防止应用(yòng)系统用户数据的丢失(shī)、被修(xiū)改或(huò)误(wù)用;加强密码技术控制(zhì),保护(hù)信息的保密(mì)性、可靠(kào)性或完整性;加强系统文(wén)件的安全,确保 IT 方案及其支持活动以安全(quán)的方式进行;加强开发和支(zhī)持(chí)过程的安全,确保应用系(xì)统软件和信(xìn)息的安全;
· 商(shāng)务(wù)连续性管理:防(fáng)止商(shāng)务活动的中(zhōng)断(duàn)及保护关键商务过程不(bú)受重大失(shī)误或灾难事(shì)故的影响;
· 符合(hé):符合(hé)法律法(fǎ)规要求,避免刑(xíng)法、民(mín)法(fǎ)、有关法令(lìng)法(fǎ)规或(huò)合同约定事宜及(jí)其他安(ān)全要求的规定相抵(dǐ)触(chù);加强安全(quán)方针和技术符合性(xìng)评审,确保(bǎo)体(tǐ)系按照组织的安全方针及标(biāo)准执行;系(xì)统审核考虑(lǜ)因素,使效果较大化 , 并使系统审核过程的影响较(jiào)小(xiǎo)化。
在国际标准 ISO/IEC17799 给(gěi)出(chū)了(le)为实现信息安全认证所(suǒ)需的各项措施(shī)的详细指(zhǐ)导,具有很强的可(kě)操(cāo)作性(xìng)和(hé)指导性。
归根结底,信息(xī)安全工作(zuò)的目的就是(shì)在法律、法规、政策的支持与指导下,通过采用合适的安全(quán)技术与安全管理措施,提供安全需求的保证,而(ér) BS7799 信息安全认证标准正是总(zǒng)和了这些(xiē)要求。组织可以根据自身特点,在 ISO/IEC 17799 指导(dǎo)下,实现(xiàn)信息安全的要(yào)求。
ISO27001:2005 《信息安全管理体系要求》
ISO27001 : 2005 《信(xìn)息安全管理体(tǐ)系(xì)要求》是关于信息安全管理的(de)标准,是标准不是方法,达到这些(xiē)标准的(de)要求并不(bú)难,重要的是用什么方法去实现。企业应将(jiāng)实施标准作为(wéi)改(gǎi)善内部管理的一次机会,不应该将标(biāo)准做为一种简单的模式(shì)对现有流程运作进行(háng)套(tào)用,应对现有(yǒu)的组织运作流程进行详(xiáng)细分析,有针(zhēn)对性地设计并(bìng)改善现有管理体系、改善薄(báo)弱环节(jiē)、改善运作(zuò)流程及内部(bù)沟通(tōng),并有(yǒu)效地将先进的管理思想融合到具体的实施程序中,才(cái)能发(fā)挥标准的(de)真(zhēn)正作用。
获得认证证书(shū)不是较终目的,建立有责、有(yǒu)序(xù)、有效的(de)信息(xī)安全管理体系,提高员工的信(xìn)息安全意识,不断获取并运(yùn)用(yòng)先(xiān)进的管理方法和(hé)技术手段才能使(shǐ)企业的信息安全管理水平得以持续的发展和提升。