信息是組織的血液����,存在的方式各異�����?梢允谴蛴。謱�,也可以是電子,演示和口述的���。當今商業(yè)競爭日趨激烈�����,來源于不同渠道的信息�����,威脅到信息的一致性�����。它們來自內(nèi)部����,外部��,意外的��,還可能是惡意的。隨著信息儲存�,發(fā)送新技術(shù)的廣泛使用,我們面臨的各種風險也在增高����。信息安全越來越重要!信息安全不是有一個終端防火墻��,或找一個24小時提供信息安全服務的公司就可以達到的�����。它需要全面的綜合管理��。信息安全管理體系的引入����,可以協(xié)調(diào)各個方面信息管理,使管理更為有效��。信息安全管理體系是系統(tǒng)的對組織敏感信息及信息資產(chǎn)進行管理��,涉及到人�����,程序和信息科技(IT)系統(tǒng)���。需要建立廣泛的信息安全方針�����。保證安全性��,公正性��。適用組織內(nèi)部和客戶��。信息安全管理體系ISMS正成為世界上管理體系標準銷售增長量最大的產(chǎn)品����。
信息安全管理體系(Information security management systems����,簡稱ISMS)(即ISO/IEC 27000系列)是目前國際信息安全管理標準研究的重點。27000 系列共包括10個標準�����,當前已經(jīng)發(fā)布和在研究的有6個����,分別為:
1����、ISO27000《信息安全管理體系 基礎和詞匯》�����;
2��、ISO27001:2005《信息安全管理體系 要求》�����;
3�、ISO27002:2005《信息安全管理實用規(guī)則》;
4�����、ISO27003《信息安全管理體系實施指南》����;
5、ISO27004《信息安全管理測量》�;
6、ISO27005《信息安全風險管理》��。
一���、什么是信息安全�?
像其他重要業(yè)務資產(chǎn)一樣��,信息也是對組織業(yè)務至關重要的一種資產(chǎn)�,因此需要加以適當?shù)乇Wo。在業(yè)務環(huán)境互連日益增加的情況下這一點顯得尤為重要�����。這種互連性的增加導致信息暴露于日益增多的�����、范圍越來越廣的威脅和脆弱性當中(也可參考關于信息系統(tǒng)和網(wǎng)絡的安全的OECD指南)�����。信息可以以多種形式存在��。它可以打印或?qū)懺诩埳�、以電子方式存儲��、用郵寄或電子手段傳送����、呈現(xiàn)在膠片上或用語言表達��。無論信息以什么形式存在�,用哪種方法存儲或共享,都應對它進行適當?shù)乇Wo��。信息安全是保護信息免受各種威脅的損害���,以確保業(yè)務連續(xù)性���,業(yè)務風險最小化,投資回報和商業(yè)機遇最大化���。信息安全是通過實施一組合適的控制措施而達到的�����,包括策略���、過程���、規(guī)程���、組織結(jié)構(gòu)以及軟件和硬件功能�。在需要時需建立�、實施、監(jiān)視����、評審和改進這些控制措施,以確保滿足該組織的特定安全和業(yè)務目標��。這個過程應與其他業(yè)務管理過程聯(lián)合進行�。
二、為什么需要信息安全���?
信息及其支持過程���、系統(tǒng)和網(wǎng)絡都是重要的業(yè)務資產(chǎn)。定義��、實現(xiàn)、保持和改進信息安全對保持競爭優(yōu)勢��、現(xiàn)金周轉(zhuǎn)�、贏利、守法和商業(yè)形象可能是至關重要的�。各組織及其信息系統(tǒng)和網(wǎng)絡面臨來自各個方面的安全威脅,包括計算機輔助欺詐�、間諜活動、惡意破壞��、毀壞行為����、火災或洪水。諸如惡意代碼�����、計算機黑客搗亂和拒絕服務攻擊等導致破壞的安全威脅��,已經(jīng)變得更加普遍�����、更有野心和日益復雜���。信息安全對于公共和專用兩部分的業(yè)務以及保護關鍵基礎設施是非常重要的���。在這兩部分中信息安全都將作為一個使動者����,例如實現(xiàn)電子政務或電子商務�����,避免或減少相關風險���。公共網(wǎng)絡和專用網(wǎng)絡的互連、信息資源的共享都增加了實現(xiàn)訪問控制的難度��。分布式計算的趨勢也削弱了集中的����、專門控制的有效性。許多信息系統(tǒng)并沒有被設計成是安全的����。通過技術(shù)手段可獲得的安全性是有限的,應該通過適當?shù)墓芾砗鸵?guī)程給予支持�。確定哪些控制措施要實施到位需要仔細規(guī)劃并注意細節(jié)。信息安全管理至少需要該組織內(nèi)的所有員工參與,還可能要求利益相關人����、供應商、第三方�����、顧客或其他外部團體的參與�。外部組織的顧問、專家建議可能也是需要的�。
三、如何建立安全要求組織識別出其安全要求是非常重要的����,安全要求有三個主要來源:
1、一個來源是在考慮組織整體業(yè)務戰(zhàn)略和目標的情況下��,評估該組織的風險所獲得的����。通過風險評估,識別資產(chǎn)受到的威脅����,評價易受威脅利用的脆弱性和威脅發(fā)生的可能性�,估計潛在的影響���。
2���、另一個來源是組織、貿(mào)易伙伴����、合同方和服務提供者必須滿足的法律、法規(guī)����、規(guī)章和合同要求���,以及他們的社會文化環(huán)境�。
3���、第三個來源是組織開發(fā)的支持其運行的信息處理的原則����、目標和業(yè)務要求的特定集合����。
四�����、評估安全風險安全要求是通過對安全風險的系統(tǒng)評估予以識別的�。
用于控制措施的支出需要針對可能由安全故障導致的業(yè)務損害加以平衡����。風險評估的結(jié)果將幫助指導和決定適當?shù)墓芾硇袆印⒐芾硇畔踩L險的優(yōu)先級以及實現(xiàn)所選擇的用以防范這些風險的控制措施����。風險評估應定期進行,以應對可能影響風險評估結(jié)果的任何變化����。
五、選擇控制措施一旦安全要求和風險已被識別并已做出風險處理決定�,則應選擇并實現(xiàn)合適的控制措施,以確保風險降低到可接受的級別�。
控制措施可以從《信息安全管理適用規(guī)則》或其他控制措施集合中選擇,或者當合適時設計新的控制措施以滿足特定需求��。安全控制措施的選擇依賴于組織所做出的決定�����,該決定是基于組織所應用的風險接受準則、風險處理選項和通用的風險管理方法��,同時還要遵守所有相關的國家和國際法律法規(guī)�������!缎畔踩芾磉m用規(guī)則》中的某些控制措施可被當作信息安全管理的指導原則��,并且可用于大多數(shù)組織���。
六�����、信息安全起點,許多控制措施被認為是實現(xiàn)信息安全的良好起點����。
它們或者是基于重要的法律要求,或者被認為是信息安全的常用慣例���。從法律的觀點看�,根據(jù)適用的法律,對某個組織重要的控制措施包括:
a) 數(shù)據(jù)保護和個人信息的隱私�����;
b) 保護組織的記錄���;
c) 知識產(chǎn)權(quán)�����。
被認為是信息安全的常用慣例的控制措施包括:
a) 信息安全方針文件����;
b) 信息安全職責的分配�����;
c) 信息安全意識�����、教育和培訓����;
d) 應用中的正確處理�;
e) 技術(shù)脆弱性管理�����;
f) 業(yè)務連續(xù)性管理�;
g) 信息安全事故和改進管理。這些控制措施適用于大多數(shù)組織和環(huán)境��。
應注意����,雖然《信息安全管理適用規(guī)則》中的所有控制措施都是重要的并且是應被考慮的,但是應根據(jù)某個組織所面臨的特定風險來確定任何一種控制措施是否是合適的�。因此,雖然上述方法被認為是一種良好的起點�����,但它并不能取代基于風險評估而選擇的控制措施�。
七�、關鍵的成功因素經(jīng)驗表明,下列因素通常對一個組織成功地實現(xiàn)信息安全來說��,十分關鍵:
a) 反映業(yè)務目標的信息安全方針、目標以及活動����;
b) 和組織文化保持一致的實現(xiàn)、保持���、監(jiān)視和改進信息安全的方法和框架�;
c) 來自所有級別管理者的可視化的支持和承諾����;
d) 正確理解信息安全要求、風險評估和風險管理��;
e) 向所有管理人員��、員工和其它方傳達有效的信息安全知識以使他們具備安全意識���;
f) 向所有管理人員���、員工和其它方分發(fā)關于信息安全方針和標準的指導意見;
g) 提供資金以支持信息安全管理活動�;
h) 提供適當?shù)囊庾R、培訓和教育;
i) 建立一個有效的信息安全事故管理過程�����;
j) 實現(xiàn)一個測量系統(tǒng)����,它可用來評價信息安全管理的執(zhí)行情況和反饋的改進建議。
友情提示
中邦咨詢是目前國內(nèi)規(guī)模較大成立較早的認證/驗廠咨詢服務機構(gòu)��。旗下設有15家控股子公司�,五大綜合事業(yè)部。14年來�����,形成了立足國內(nèi)����,兼顧海外的市場布局,已成功為國內(nèi)外上萬家客戶提供一站式認證/驗廠服務��。
業(yè)務范圍涵蓋BSCI�����、Sedex、WRAP�、ISO系列認證����、BRC、GRS等350+項目�。 服務領域包括模具,電子���,玩具�����,服裝��,塑料��,五金���,陶瓷,食品���,家具����,電器,鞋類�����,以及商貿(mào)公司等企業(yè)��。中邦一貫秉承”貢獻專業(yè)價值����,助力客戶成長”的服務理念長期致力于幫助幫助企業(yè)優(yōu)化流程、提高質(zhì)量��、 破除貿(mào)易壁壘��、贏得全球市場!
歡迎撥打免費咨詢電話:400-183-5388
在線客服