客服热线:
手机版
二维码
ISO27000信息安全管理体系认证咨询
ISO27000信息安全管理体系认证咨询
随着以计算机和网络通信为代表的信息技术(IT)的迅猛发展,政府部门、金融机构、企事业单位和商业组织对IT系统的依赖也日益加重,信息技术几乎渗透到了世界各地和社会生活的方方面面。因此,对信息加以保护,防范信息的损坏和泄露,已成为当前组织迫切必须解决的问题。组织必须1个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。《信息技术安全技术信息安全管理体系要求》(ISO/IEC27001)是目前世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001的目的是有效保护信息资源,保护信息化进程健康、有序、可持续发展。建立信息安全管理体系能够给企业带来如下收目标益:
1.信息泄露事件为零2.引起组织主要业务中断时间累计不能超过2h/次3.严重影响网络与信息系统可用性的事件小于1次/年4.引起组织主要业务中断事件发生次数小雨1次/年5.信息安全事件发生时,以损失最小化、恢复时间最短化、避免再次发生为目标- 提升主动防范信息技术相关安全风险的能力,保障组织运营的安全;
- 形成体系的监督、检查机制,建立可自我改进和完善的管理体系;
- 提升组织内部全员的安全意识,在组织内部形成信息安全文化氛围,以更有效地推动信息安全管理工作的持续改进。
ISO27000信息安全管理体系之信息安全概念
ISO27000信息安全管理体系之 信息安全概念
“安全一词的基本含义为:“主观上没有任何威胁,主观上没有任何恐惧或“远离任何危险的状态或特性。其实在每1个领域都会存在安全问题,这是1个非常普遍存在的问题。随着计算机网络的迅速发展,人们对信息的存储、处理和传递过程中涉及的安全问题越来越关注,信息领域的安全问题变得非常突出。
信息安全是1个非常广泛和抽象的概念。简单的而言信息安全是指关注信息本身的安全,而不管是否应用了计算机作为信息处理的手段。信息安全的主要任务是保护信息财产的安全,防止偶然的或未授权者对信息财产产生的恶意泄露、修改和破坏,从而导致信息的不可靠或无法处理等。这样能够使得我们在最大限度地利用信息的同时而不招致损失或使损失最小。
目前,信息技术得到社会上的广泛应用,给人们的生活方式、生产方式和思想观念带来了巨大的改变,极大程度地推动了人类文明的进步和社会的发展,1个崭新的时代就此诞生,它把人类带入了——信息时代。信息是一种资源,并且是社会发展的重要资源。然而,信息是一把双刃剑,人们在享受信息资源为我们带来的丰厚的利益的同时,也在经历着信息安全的严峻考验。信息安全已经成为世界性的问题。
信息安全之因此引起人们的普遍关注,是由于信息安全问题目前已经涉及到人们日常生活的各个方面。以网上交易为例,传统的商务运作模式经历了漫长的社会实践,在社会的意识、道德、素质、政策、法规和技术等各个方面,都已经完善,然而对于电子商务而言,这一切却处于刚刚起步阶段,其发展和完善将是1个漫长的过程。假设你作为交易人,无论你从事何种形式的电子商务都必须清楚以下事实:你的交易方是谁?信息在传输过程中是否会被篡改( 即信息的完整性) ?信息在传送途中是否会被外人看到( 即信息的保密性) ?网上支付后,对方是否会不认帐( 即不可抵赖性)?如此等等。因此,无论是商家、银行还是个人对电子交易安全的担忧是必然的,电子商务的安全问题已经成为阻碍电子商务发展的“瓶颈,怎样改进电子商务的现状,让用户不必为安全担心,是推动安全技术不断发展的动力。
信息安全研究所涉及的领域相当广泛。随着计算机网络的迅速发展,人们越来越依赖网络,人们对信息财产的使用更多的是通过计算机网络来实现的,在计算机和网络上信息的处理是以数据的形式进行,在这种情况下,信息就是数据。因而从这个角度而言,信息安全能够分为数据安全和系统安全,即信息安全能够从两个层次来看:从消息的层次来看,包含信息的完整性( Integrity) ,即保证消息的来源、去向、内容真实无误;保密性( Confidentiality) ,即保证消息不会被非法泄露扩散;不可否认性( Non-repudiation) ,也称为不可抵赖性,即保证消息的发送和接受者无法否认自己所做过的操作行为等。从网络层次来看,包含可用性( Availability) ,即保证网络和信息系统随时可用,运行过程中不出现故障,若遇意外打击能够尽量减少损失并尽早恢复正常;可控性( Cont rollability) ,即对网络信息的传播及内容具有控制能力的特性。
