ISO 27001是以信息資產及業務風險管理為核心的管理體系����,對企業建立、實施和文件化信息安全管理提出了極高的要求。ISO 27001的前身是 BS 7799信息安全管理體系標準��,由全球權威的標準研發和國際認證評審服務提供商 BSI 撰寫���,后被國際標準組織(International Standardization Organization�,簡稱 ISO)采納升級為 ISO 27001國際信息安全管理體系認證標準�。該標準已成為當今國際上最權威��、最嚴格�����,也是最被廣泛接受和應用的信息安全領域的體系認證標準。
近年來,云計算等新興 IT 技術在全球范圍內高速增長���,同時也帶來了全新的安全威脅。為此���, ISO 組織于2013年9月底將 ISO 27001:2005正式升級為 ISO 27001:2013�����。相較而言��,ISO 27001:2005更加適用于傳統的 IT 架構��,而 ISO 27001:2013則補足了2005版中缺失的新技術對于信息安全管理的相關要求�。這意味著����,通過 ISO 27001:2013認證���,更能體現企業對安全的承諾,表明企業信息安全管理已建立起一套科學有效的管理體系��,能夠為用戶提供可靠的信息服務。目前國內外許多政府機構�����、銀行����、證券、保險公司���、電信運營商、網絡公司及許多跨國公司均采用了此項 ISO 標準對自己的信息安全進行系統的管理��。
ISO27001信息安全管理體系��,即Information Security Management System(簡稱ISMS)����,是組織在整體或特定范圍內建立的信息安全方針和目標�,以及完成這些目標所用的方法和體系。它是直接管理活動的結果����,表示為方針、原則、目標�����、方法��、計劃���、活動、程序、過程和資源的集合���。
BS7799-2是建立和維持信息安全管理體系的標準,標準要求組織通過確定信息安全管理體系范圍,制定信息安全方針,明確管理職責��,以風險評估為基礎選擇控制目標與控制措施等一系列活動來建立信息安全管理體系��;體系一旦建立,組織應按體系的規定要求進行運作,保持體系運行的有效性���;信息安全管理體系應形成一定的文件��,即組織應建立并保持一個文件化的信息安全管理體系,其中應闡述被保護的資產、組織風險管理方法���、控制目標與控制措施、信息資產需要保護的程度等內容��。
任何組織�����,不論它在信息技術方面如何努力以及采納如何新的信息安全技術��,實際上在信息安全管理方面都還存在漏洞�����,例如:
缺少信息安全管理論壇�,安全導向不明確���,管理支持不明顯��;
缺少跨部門的信息安全協調機制���;
保護特定資產以及完成特定安全過程的職責還不明確�;
雇員信息安全意識薄弱,缺少防范意識���,外來人員很容易直接進入生產和工作場所;
組織信息系統管理制度不夠健全��;
組織信息系統主機房安全存在隱患����,如:防火設施存在問題���,與危險品倉庫同處一幢辦公樓等;
組織信息系統備份設備仍有欠缺���;
組織信息系統安全防范技術投入欠缺���;
軟件知識產權保護欠缺�����;
計算機房、辦公場所等物理防范措施欠缺���;
檔案、記錄等缺少可靠貯存場所;
缺少一旦發生意外時的保證生產經營連續性的措施和計劃�; 信息處理過程及對信息起支持作用的信息系統和信息網絡都是重要的商務資產��。信息的保密性����、完整性和可用性對保持競爭優勢、資金流動、效益��、法律符合性和商業形象都是至關重要的���。然而���,越來越多的組織及其信息系統和網絡面臨著包括計算機詐騙、間諜����、蓄意破壞���、火災�����、水災等大范圍的安全威脅,諸如計算機病毒���、計算機入侵���、 Dos 攻擊等手段造成的信息災難已變得更加普遍 , 有計劃而不易被察覺�����。組織對信息系統和信息服務的依賴意味著更易受到安全威脅的破壞�����,公共和私人網絡的互連及信息資源的共享增大了實現訪問控制的難度��。許多信息系統本身就不是按照安全系統的要求來設計的��,所以僅依靠技術手段來實現信息安全有其局限性�����,所以信息安全的實現必須得到管理和程序控制的適當支持���。確定應采取哪些控制方式則需要周密計劃,并注意細節�。信息安全管理至少需要組織中的所有雇員的參與,此外還需要供應商����、顧客或股東的參與和信息安全的專家建議�。在信息系統設計階段就將安全要求和控制一體化考慮�����,則成本會更低��、效率會更高�����。
客服咨詢
158-0008-7775 
