一��、ISO27001信息安全管理體系介紹
信息作為組織的重要資產,需要得到妥善保護����。但隨著信息技術的高速發展�����,特別是Interne的問世及網上交易的啟用,許多信息安全的問題也紛紛出現:系統癱瘓�、 黑客入侵�、病毒感染����、網頁改寫、客戶資料的流失及公司內部資料的泄露等等�����,這些已給組織的經營管理�、生存甚至國家安全都帶來嚴重的影響。所以����,在運用現代信息系統中來的快捷、方便的可時,如何充分防范信息的損壞和泄露����,已成為當前企業迫切需要解決的問題�。
俗話說“三分技術七分管理”����。目前組織普遍采用現代通信、計算機���、網絡技術來構建組織的信息系統。但大多數組織的最高管理層對信息資產所面臨的威脅嚴重性認識不足���,缺乏明確的信息安全營理方針和完整的信息安全管理制度,如系統的運行����、維護�、開發等崗位不清����,職責不分存在一人身兼數職的現象, 這些都是造成信意安全事件的重要原因。缺乏系統的管理思想也是一個重要的問題��。所以�,我們需要一個系統的、整體規劃的信息安全管理體系,從預防控制的角度出發以確保組織的信意系統和業務數據的安全性。
二�、為什么需要信息安全管理體系
1�����、信息、信息處理過程及信息系統和信息網絡都是重要的商務資產。信息的保密性�����、完整性和可用性對 保持競爭優勢�、資金流動����、效益、法律符合性和商業形象都是至關重要的。
2、組織對信息系統和信息服務的依賴意味著更易受到 安全威脅的破壞��。
3�����、許多信息系統本身安全有其局限性��,在信息系統設計階段就將安全要求和控制進行一體化考慮, 則成本會更低,效率會更高���。
三�����、ISO27001標準內容簡介
目前,在信息安全管理體系方面,ISO/IEC 27001:2013 - -信息安全管理體系標準已經成為世界上應用最廣泛與典型的信息安全管理標準。
ISO27001: 2013標準包括14個控制域、35個控制目標和114項控制措施���,為組織提供全方位的信息安全保障。主要的14個控制域包括: 1、 信息安全方針和策略; 2�、信息安全組織3����、人力資源安全; 4�����、資產管理;5����、訪問控制; 6��、密碼; 7、物理和環境安全; 8、操作安全9�、通信安全; 10�、系統獲取開發和維護; 11��、 供應商關系: 12���、信息安全事件管理; 13�����、業務連續性管理的信息安全方面; 14、 符合性����。
四��、ISO27001建立的目的
有一套“量體裁衣”的信息安全管理控制措施和保護信息資產的制度框架
形成了高層管理人員與技術負責人進行信息安全溝通的共同語言
使組織將IT策略和組織發展方向統一起來, 確保與1T相關的風險受到適當的控制
通過方針���、慣列、程序��、組織結構和軟件功能來確定控制方式并實施控制�,持續提高組織信息安全管理水平
降低信息安全對持續發展造成的風險,利用信息技術為組織創造新的戰路競爭機遇
根據控制費用與風險平衡的原則合理選擇安全控制方式
使信息風險的發生概率和結果降低到可接受收水平���,保持組織業務運作的持續性
五、ISO27001信息安全管理體系申請和受理條件
具有法律地位
從業條件中����,有行政許可要求的�,應取得相應資格并在有效期內
產品及過程符合國家相關法律法規和標準要求
建立了文件化的管理體系
管理體系運行三個月以上
本年度無重大與擬申請認證流域相關的責任事故
至少進行過一次管理體系內部審核與管理評審��,且內審覆蓋申請范圍所有的產品�����、過程場所和認證標準要求
