ISO27000信息安全管理体系之信息安全属性
ISO27000信息安全管理体系之 信息安全属性
信息安全有5个基本的属性,这5个基本属性主要表现在以下方面:
(1) 信息所具有的完整性
信息完整性是指信息在传输或存储的过程中保持未经授权不能改变的特性,即对抗主动攻击,保证数据的一致性,防止数据被非法用户修改和破坏。对信息安全发动攻击的最终目的是破坏信息的完整性。
(2) 信息所具有的保密性
信息保密性是指信息不被泄露给未经授权者的特性,即对抗被动攻击,以保证机密信息不会泄露给非法用户。
(3) 信息所具有的可用性
信息可用性是指信息可被授权者访问并按需求使用的特性,即保证合法用户对信息和资源的使用不会被不合理地拒绝。对可用性的攻击就是阻断信息的合理使用,例如破坏系统的正常运行就属于这种类型的攻击。
(4) 信息所具有的不可否认性
信息不可否认性也称为不可抵赖性,即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。发送方不能否认已发送的信息,接收方也不能否认已收到的信息。
(5) 信息所具有的可控性
信息可控性是指对信息的传播及内容具有控制能力的特性。授权机构能够随时控制信息的机密性,能够对信息实施安全监控。
信息安全的主要任务就是要实现信息的上述五种安全属性。对于信息破坏攻击者而言,就是要通过一切可能的方法和手段破坏信息的安全属性。
信息安全能够说是一门既古老又年轻的学科,内涵以及丰富。信息安全不仅涉及计算机和网络本身的技术问题、管理问题并且还涉及经济学、法律学、计算机基础科学、犯罪学、计算机病毒学、心理学、密码学、应用数学、审计学等学科。
从信息安全的发展过程来看,在计算机出现以前,通信安全以保密为主,密码学是信息安全的核心和基础,随着计算机的出现,计算机系统安全保密成为现代信息安全的重要内容,网络的出现使得大范围的信息系统的安全保密成为信息安全的主要内容。信息安全的宗旨是向合法的服务对象提供准确、正确、及时、可靠的信息服务;而对其他任何人员和组织,包含内部、外部乃至于敌对方,保持最大限度的信息的不可获取性、不透明性、不可干扰性、不可接触性、不可破坏性,并且不论信息所处的状态是静态的、动态的、还是传输过程中的。
ISO27000运行过程中,组织应注意什么方面
ISO27000运行过程中,组织应注意什么方面?
信息安全管理体系文件编制完成以后,组织应按照文件的控制要求进行审 核与批准,并发布实施,至此,信息安全管理体系将进入运行阶段。体系运行初期通常称为试运行期或磨合期,在此期间体系运行的 目的是要在实践中检验体系的充分性、适用性和有效性。在体系运行初期,组织应加强运作力度,通过实施其手册、程序和各种作业 指导性文件等一系列体系文件,充分发挥体系本身的各项功能,及时发现体系策划本身存在的问题,找出问题根源,采取纠正措施, 纠正各种不符合,并按照更改控制程序要求对体系予以更改,以达到进1步完善信息安全管理体系的目的。
有针对性 地宣贯信息安全管理体系文件。
体系文件的培训工作是体系运行的首要任务,培训工作的质量直接影响体系运行的结 果。组织应根据培训工作规划的安排并按照培训程序的要求对全体员工实施培训。通过培训使全体员工认识到新建立或完善的信息安 全管理体系是对过去信息安全管理体系的变革,是为了向国际先进的信息安全管理标准接轨,要适应这种变革和新管理体系的运行, 就必须认真学习、贯彻信息安全管理体系文件。
实践是检验真理的唯一标准。
体系文件通过试运行 必然会出现一些问题,全体员工应将实践中出现的问题和改进意见如实反馈给有关部门,以便采取纠正措施。
将体系 试运行中暴露出的问题,如体系设计不周、项目不全等进行协调、改进。信息安全管理体系的运行涉及组织体系范围 的各个部门,在运行过程中,各项活动往往不可避免的发生偏离标准的现象,因此,组织应按照严密、协调、高效、精简、统一的原 则,建立信息反馈与信息安全协调机制对异常信息反馈和处理,对出现的问题加以改进,并保证体系的持续正常运行。
加强有关体系运行信息的管理,不仅是信息安全管理体系试运行本身的必须,也是保证试运行成功的关键。
所有与 信息安全管理体系活动有关的人员都应按体系文件要求,做好信息安全的信息收集、分析、传递、反馈、处理和归档等工作。
信息安全体系文件属于组织的信息资产,包含有关组织的全部安全管理等敏感信息,组织应按照信息分类的原则对其 进行分类、进行密级标注并实行严格的安全控制,未经授权不得随意复制或借阅。
今日通过对《ISO27000运行过程中,组织应注意什么方面?》的学习,相信你对认证有更好的认识。假如要办理相关认证,请联络我们吧。