客服热线:
手机版
二维码
信息安全ISO27001
信息安全ISO27001
信息安全 (Information security): 是指信息的保密性 (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。
保密性:为保障信息仅仅为那些被授权使用的人获取。
信息的保密性是针对信息被容许访问( AcCEss )对象的多少而不同,所有人员都能够访问的信息为公开信息,必须限制访问的信息通常为敏感信息或秘密,秘密能够根据信息的重要性及保密要求分为不同的密级,例如国家根据秘密泄露对国家经济、安全利益产生的影响(后果)不同,将国家秘密分为秘密、机密和绝密3个等级,组织可根据其信息安全的实际,在符合《国家保密法》的前提下将其信息区划为不同的密级;对于具体的信息的保密性有时效性,如秘密到期解密等。
完整性:为保护信息以及处理方法的准确性和完整性。 信息完整性一方面是指信息在利用、传输、贮存等过程中不被篡改、丢失、缺损等,另一方面是指信息处理的方法的正确性。不正当的操作,如误删除文件,有可能造成重要文件的丢失。
可用性:为保障授权使用人在必须时能够获取信息和使用相关的资产。
信息的可用性是指信息及相关的信息资产在授权人必须的情况下,能够立即获得。例如通信线路中断故障会造成信息的在一段时间内不可用,影响正常的商业运作,这是信息可用性的破坏。不同类型的信息及相应资产的信息安全在保密性、完整性及可用性方面关注点不同,如组织的专有技术、市场营销计划等商业秘密对组织来讲保守机密尤其重要;而对于工业自动控制系统,控制信息的完整性相对其保密性重要得多。
为何必须信息安全? 信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。然而,越来越多的组织以及信息系统和网络面临着包含计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁,诸如计算机病毒、计算机入侵、 Dos 攻击等手段造成的信息灾难已变得更加普遍 , 有计划而不易被察觉。组织对信息系统和信息服务的依赖代表着更易受到安全威胁的破坏,公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。许多信息系统本身就不是按照安全系统的要求来设计的,因此仅依靠技术手段来实现信息安全有其局限性,因此信息安全的实现必须得到管理和程序控制的适当支持。明确应采取什么控制方式则必须周密计划,并注意细节。信息安全管理至少必须组织中的所有雇员的参与,除此之外还必须供应商、顾客或股东的参与和信息安全的专家建议。在信息系统设计阶段就将安全要求和控制一体化考虑,则成本会更低、效率会更高。 建立信息安全管理体系的作用: 任何组织,不论它在信息技术方面怎样努力以及采纳怎样新的信息安全技术,实际上在信息安全管理方面都还存在漏洞,例如:
缺少信息安全管理论坛,安全导向不明确,管理支持不明显;
缺少跨部门的信息安全协调机制;
保护特定资产以及完成特定安全过程的职责还不明确;
雇员信息安全意识薄弱,缺少防范意识,外来人员很容易直接进入生产和工作场所;
组织信息系统管理规范不够健全;
组织信息系统主机房安全存在隐患,如:防火设施存在问题,与危险品仓库同处一幢办公楼等;
组织信息系统备份设备仍有欠缺;
组织信息系统安全防范技术投入欠缺;
软件知识产权保护欠缺;
计算机房、办公场所等物理防范措施欠缺;
档案、记录等缺少可靠贮存场所;
缺少一旦发生意外时的保证生产经营连续性的措施和计划;
……等等。其实,组织能够参照信息安全管理模型,按照先进的信息安全管理标准 BS7799 标准建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最少的成本,达到可接受的信息安全水平,就能够从根本上保证业务的连续性。组织建立、实施与保持信息安全管理体系将会产生如下作用:强化员工的信息安全意识,规范组织信息安全行为;对组织的关键信息资产进行全面系统的保护,维持竞争优势;在信息系统受到侵袭时,确保业务持续开展并将损失降到最少程度;使组织的生意伙伴和顾客对组织充满信心;假如通过体系认证,表明体系符合标准,证明组织有能力保障重要信息,提高组织的知名度与信任度;促使管理层坚持贯彻信息安全保障体系。信息安全认证是实现信息安全目标的最佳途径: ISO27001:2005 《信息安全管理体系要求》ISO27001 : 2005 《信息安全管理体系要求》是关于信息安全管理的标准,是标准不是方法,达到这些标准的要求并不难,重要的是用什么方法去实现。企业应将实施标准作为全面改善内部管理的一次机会,不应该将标准做为一种简单的模式对现有流程运作进行套用,应对现有的组织运作流程进行详细分析,有针对性地设计并改善现有管理体系、改善薄弱环节、改善运作流程及内部沟通,并有效地将先进的管理思想融合到具体的实施程序中,才能发挥标准的真正作用。获得认证证书不是最终目的,建立有责、有序、有效、高效的信息安全管理体系,提高员工的信息安全意识,不断获取并运用先进的管理方法和技术手段才能使企业的信息安全管理水平得以持续的发展和提升。
今日通过对《信息安全ISO27001》的学习,相信你对认证有更好的认识。假如要办理相关认证,请联络我们吧。
信息安全ISO27001体系建设指导
信息安全ISO27001体系建设指导(信息安全管理体系)
ISO27001作为信息安全管理领域的权威标准,经过多年的实践和优化改进,目前已是全球业界一致公认的辅助信息安全治理的手段和最佳指导。
这是1个通用型的国际标准,在金融行业、制造业、航空运输、互联网行业等等各个领域都有良好的最佳实践成功案例。组织或企业或机构,都能够参考此标准构建符合组织自身环境和需求的信息安全管理体系。
第一,ISO27001体系建设实施方法
下图是ISO27001项目实施最佳方法论:
项目的目标达成和预期收益,是项目核心关注点。上图示例的项目方法论,是一套全面、系统化的实施方法论。从策略、结构、流程、人员、技术5个维度,导入标准,实施优化和变革。之后,以运维变更管理为主轴,实现持续运营。
我们都晓得,信息安全不是一次标准导入、一次评估审计整改,就能达到预期目标和目的的。信息安全的建设,必须1个良好的运作机制,实现持续运营,持续改进,以推进信息安全治理不断达到新高度。
第二,ISO27001管理体系的框架
ISO组织于2013年9月26日,推出了最新的版本ISO/IEC27001:2013信息安全管理体系标准,其框架图如下:
以上的框架,有详细的标准解读,这里不多做介绍了。标准的体系框架,几乎能够涵盖目前所有的组织管理领域,即使是互联网企业,仍然适用。只不过,部分域在某些组织或机构中,比较薄弱而已,例如:供应关系管理。
当然,云计算时代,标准中的众多管理已经由云服务商实施落地了,这种情况,我们更多关注的是检查或审计云服务商的信息安全符合性。
第三,ISO27001导入及认证步骤
整体过程从战略明确,到现状评估和差异分析,再到体系设计与建立,之后实施体系运行发布,接着实行内部审核和改进,最后获取认证。必须特别说明一点的是,ISO27001信息安全管理体系认证,每一年都必须进行审核,3年重新认证。
下图为ISO27001认证步骤示例:
以上参考的标准和监管要求,各个行业的要求各不相同。金融行业的监管要求就是非常丰富和严格,需进行解读匹配。在标准和要求冲突时,以监管要求、本地标准优先。如金融监管要求的优先级,要高于ISO标准要求;互联网行业注重敏捷、简洁、快速,需和ISO标准进行融合沟通,达成一致。
第四,PDCA持续改进理论
基于PDCA循环框架构建信息安全管理体系,通过规划、设计实施、监控审计、以及持续改进,保证体系运作的有效性和长效性,真正实现信息安全的持续改进和优化,从而保障组织的业务安全。
这也是一套通用的信息安全PDCA循环方法论。无论互联网企业,还是传统的金融行业,都能够采用这种方式。
总 结
标准是固定不变的,但行业的最佳实践各有各的不同。因此,ISO27001体系建设,必须和组织自身情况相结合,不能为了标准符合而限制业务。
