信息是組織的血液,存在的方式各異。可以是打印,手寫,也可以是電子,演示和口述的。當(dāng)今商業(yè)競(jìng)爭(zhēng)日趨激烈,來(lái)源于不
同渠道的信息,威脅到信息的一致性。它們來(lái)自內(nèi)部,外部,意外的,還可能是惡意的。隨著信息儲(chǔ)存,發(fā)送新技術(shù)的廣泛使
用,我們面臨的各種風(fēng)險(xiǎn)也在增高。信息安全越來(lái)越重要!
信息安全不是有一個(gè)終端防火墻,或找一個(gè)24小時(shí)提供信息安全服務(wù)的公司就可以達(dá)到的。它需要全面的綜合管理。信息安全
管理體系的引入,可以協(xié)調(diào)各個(gè)方面信息管理,使管理更為有效。信息安全管理體系是系統(tǒng)的對(duì)組織敏感信息及信息資產(chǎn)進(jìn)行
管理,涉及到人,程序和信息科技(IT)系統(tǒng)。需要建立廣泛的信息安全方針。保證安全性,公正性。適用組織內(nèi)部和客戶。信息
安全管理體系ISMS正成為世界上管理體系標(biāo)準(zhǔn)銷售增長(zhǎng)量最大的產(chǎn)品。
信息安全管理體系(Information security management systems,簡(jiǎn)稱ISMS)(即ISO/IEC 27000系列)是目前國(guó)際信息安全
管理標(biāo)準(zhǔn)研究的重點(diǎn)。
27000系列共包括10個(gè)標(biāo)準(zhǔn),當(dāng)前已經(jīng)發(fā)布和在研究的有6個(gè),分別為:
1、ISO/IEC 27000《信息安全管理體系基礎(chǔ)和詞匯》;
2、ISO/IEC 27001:2005《信息安全管理體系要求》;
3、ISO/IEC 27002:2007《信息安全管理實(shí)用規(guī)則》;
4、ISO/IEC 27003《信息安全管理體系實(shí)施指南》;
5、ISO/IEC 27004《信息安全管理測(cè)量》;
6、ISO/IEC 27005《信息安全風(fēng)險(xiǎn)管理》。
一、什么是信息安全?
像其他重要業(yè)務(wù)資產(chǎn)一樣,信息也是對(duì)組織業(yè)務(wù)至關(guān)重要的一種資產(chǎn),因此需要加以適當(dāng)?shù)乇Wo(hù)。在業(yè)務(wù)環(huán)境互連日益增加的
情況下這一點(diǎn)顯得尤為重要。這種互連性的增加導(dǎo)致信息暴露于日益增多的、范圍越來(lái)越廣的威脅和脆弱性當(dāng)中(也可參考關(guān)
于信息系統(tǒng)和網(wǎng)絡(luò)的安全的OECD指南)。信息可以以多種形式存在。它可以打印或?qū)懺诩埳稀⒁噪娮臃绞酱鎯?chǔ)、用郵寄或電
子手段傳送、呈現(xiàn)在膠片上或用語(yǔ)言表達(dá)。無(wú)論信息以什么形式存在,用哪種方法存儲(chǔ)或共享,都應(yīng)對(duì)它進(jìn)行適當(dāng)?shù)乇Wo(hù)。信
息安全是保護(hù)信息免受各種威脅的損害,以確保業(yè)務(wù)連續(xù)性,業(yè)務(wù)風(fēng)險(xiǎn)最小化,投資回報(bào)和商業(yè)機(jī)遇最大化。信息安全是通過(guò)
實(shí)施一組合適的控制措施而達(dá)到的,包括策略、過(guò)程、規(guī)程、組織結(jié)構(gòu)以及軟件和硬件功能。在需要時(shí)需建立、實(shí)施、監(jiān)視、
評(píng)審和改進(jìn)這些控制措施,以確保滿足該組織的特定安全和業(yè)務(wù)目標(biāo)。這個(gè)過(guò)程應(yīng)與其他業(yè)務(wù)管理過(guò)程聯(lián)合進(jìn)行。
二、如何建立安全要求?
組織識(shí)別出其安全要求是非常重要的,安全要求有三個(gè)主要來(lái)源:
1、一個(gè)來(lái)源是在考慮組織整體業(yè)務(wù)戰(zhàn)略和目標(biāo)的情況下,評(píng)估該組織的風(fēng)險(xiǎn)所獲得的。通過(guò)風(fēng)險(xiǎn)評(píng)估,識(shí)別資產(chǎn)受到的威脅,
評(píng)價(jià)易受威脅利用的脆弱性和威脅發(fā)生的可能性,估計(jì)潛在的影響。
2、另一個(gè)來(lái)源是組織、貿(mào)易伙伴、合同方和服務(wù)提供者必須滿足的法律、法規(guī)、規(guī)章和合同要求,以及他們的社會(huì)文化環(huán)境。
3、第三個(gè)來(lái)源是組織開發(fā)的支持其運(yùn)行的信息處理的原則、目標(biāo)和業(yè)務(wù)要求的特定集合。
三、評(píng)估安全風(fēng)險(xiǎn)
安全要求是通過(guò)對(duì)安全風(fēng)險(xiǎn)的系統(tǒng)評(píng)估予以識(shí)別的。用于控制措施的支出需要針對(duì)可能由安全故障導(dǎo)致的業(yè)務(wù)損害加以平衡。
風(fēng)險(xiǎn)評(píng)估的結(jié)果將幫助指導(dǎo)和決定適當(dāng)?shù)墓芾硇袆?dòng)、管理信息安全風(fēng)險(xiǎn)的優(yōu)先級(jí)以及實(shí)現(xiàn)所選擇的用以防范這些風(fēng)險(xiǎn)的控制措
施。風(fēng)險(xiǎn)評(píng)估應(yīng)定期進(jìn)行,以應(yīng)對(duì)可能影響風(fēng)險(xiǎn)評(píng)估結(jié)果的任何變化。
四、選擇控制措施
一旦安全要求和風(fēng)險(xiǎn)已被識(shí)別并已做出風(fēng)險(xiǎn)處理決定,則應(yīng)選擇并實(shí)現(xiàn)合適的控制措施,以確保風(fēng)險(xiǎn)降低到可接受的級(jí)別。控
制措施可以從《信息安全管理實(shí)用規(guī)則》或其他控制措施集合中選擇,或者當(dāng)合適時(shí)設(shè)計(jì)新的控制措施以滿足特定需求。安全
控制措施的選擇依賴于組織所做出的決定,該決定是基于組織所應(yīng)用的風(fēng)險(xiǎn)接受準(zhǔn)則、風(fēng)險(xiǎn)處理選項(xiàng)和通用的風(fēng)險(xiǎn)管理方法,
同時(shí)還要遵守所有相關(guān)的國(guó)家和國(guó)際法律法規(guī)。《信息安全管理實(shí)用規(guī)則》中的某些控制措施可被當(dāng)作信息安全管理的指導(dǎo)原
則,并且可用于大多數(shù)組織。
五、信息安全起點(diǎn)
許多控制措施被認(rèn)為是實(shí)現(xiàn)信息安全的良好起點(diǎn)。它們或者是基于重要的法律要求,或者被認(rèn)為是信息安全的常用慣例。從法
律的觀點(diǎn)看,根據(jù)適用的法律,對(duì)某個(gè)組織重要的控制措施包括:
a)數(shù)據(jù)保護(hù)和個(gè)人信息的隱私;
b)保護(hù)組織的記錄;
c)知識(shí)產(chǎn)權(quán)。
被認(rèn)為是信息安全的常用慣例的控制措施包括:
a)信息安全方針文件;
b)信息安全職責(zé)的分配;
c)信息安全意識(shí)、教育和培訓(xùn);
d)應(yīng)用中的正確處理;
e)技術(shù)脆弱性管理;
f)業(yè)務(wù)連續(xù)性管理;
g)信息安全事故和改進(jìn)管理。
這些控制措施適用于大多數(shù)組織和環(huán)境。應(yīng)注意,雖然《信息安全管理實(shí)用規(guī)則》中的所有控制措施都是重要的并且是應(yīng)被考
慮的,但是應(yīng)根據(jù)某個(gè)組織所面臨的特定風(fēng)險(xiǎn)來(lái)確定任何一種控制措施是否是合適的。因此,雖然上述方法被認(rèn)為是一種良好
的起點(diǎn),但它并不能取代基于風(fēng)險(xiǎn)評(píng)估而選擇的控制措施。
六、關(guān)鍵的成功因素
經(jīng)驗(yàn)表明,下列因素通常對(duì)一個(gè)組織成功地實(shí)現(xiàn)信息安全來(lái)說(shuō),十分關(guān)鍵:
a)反映業(yè)務(wù)目標(biāo)的信息安全方針、目標(biāo)以及活動(dòng);
b)和組織文化保持一致的實(shí)現(xiàn)、保持、監(jiān)視和改進(jìn)信息安全的方法和框架;
c)來(lái)自所有級(jí)別管理者的可視化的支持和承諾;
d)正確理解信息安全要求、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理;
e)向所有管理人員、員工和其它方傳達(dá)有效的信息安全知識(shí)以使他們具備安全意識(shí);
f)向所有管理人員、員工和其它方分發(fā)關(guān)于信息安全方針和標(biāo)準(zhǔn)的指導(dǎo)意見;
g)提供資金以支持信息安全管理活動(dòng);
h)提供適當(dāng)?shù)囊庾R(shí)、培訓(xùn)和教育;
i)建立一個(gè)有效的信息安全事故管理過(guò)程;
j)實(shí)現(xiàn)一個(gè)測(cè)量系統(tǒng),它可用來(lái)評(píng)價(jià)信息安全管理的執(zhí)行情況和反饋的改進(jìn)建議。
七、為什么需要信息安全?
信息及其支持過(guò)程、系統(tǒng)和網(wǎng)絡(luò)都是重要的業(yè)務(wù)資產(chǎn)。定義、實(shí)現(xiàn)、保持和改進(jìn)信息安全對(duì)保持競(jìng)爭(zhēng)優(yōu)勢(shì)、現(xiàn)金周轉(zhuǎn)、贏利、
守法和商業(yè)形象可能是至關(guān)重要的。各組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨來(lái)自各個(gè)方面的安全威脅,包括計(jì)算機(jī)輔助欺詐、間諜活
動(dòng)、惡意破壞、毀壞行為、火災(zāi)或洪水。諸如惡意代碼、計(jì)算機(jī)黑客搗亂和拒絕服務(wù)攻擊等導(dǎo)致破壞的安全威脅,已經(jīng)變得更
加普遍、更有野心和日益復(fù)雜。信息安全對(duì)于公共和專用兩部分的業(yè)務(wù)以及保護(hù)關(guān)鍵基礎(chǔ)設(shè)施是非常重要的。在這兩部分中信
息安全都將作為一個(gè)使動(dòng)者,例如實(shí)現(xiàn)電子政務(wù)或電子商務(wù),避免或減少相關(guān)風(fēng)險(xiǎn)。公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)的互連、信息資源的
共享都增加了實(shí)現(xiàn)訪問(wèn)控制的難度。分布式計(jì)算的趨勢(shì)也削弱了集中的、專門控制的有效性。許多信息系統(tǒng)并沒(méi)有被設(shè)計(jì)成是
安全的。通過(guò)技術(shù)手段可獲得的安全性是有限的,應(yīng)該通過(guò)適當(dāng)?shù)墓芾砗鸵?guī)程給予支持。確定哪些控制措施要實(shí)施到位需要仔
細(xì)規(guī)劃并注意細(xì)節(jié)。信息安全管理至少需要該組織內(nèi)的所有員工參與,還可能要求利益相關(guān)人、供應(yīng)商、第三方、顧客或其他
外部團(tuán)體的參與。外部組織的顧問(wèn)、專家建議可能也是需要的。
很多企業(yè)是基于以下原因或要求來(lái)實(shí)施ISO 27001信息安全管理體系的:
1.客戶要求:絕大部分跨國(guó)公司或大型企業(yè)為了專注于核心業(yè)務(wù),會(huì)將其部分不占優(yōu)勢(shì)的商業(yè)流程外包給專業(yè)公司來(lái)做(或自
己成立獨(dú)立于核心業(yè)務(wù)的專業(yè)公司來(lái)做,屬于內(nèi)部供方的概念,業(yè)務(wù)、財(cái)務(wù)等獨(dú)立核算),其首先關(guān)心的是質(zhì)量和成本,然后
就是外包方(供方)如何保證其信息和信息資產(chǎn)的安全,會(huì)明示或隱含要求其外包方建立和實(shí)施信息安全管理體系,甚至通過(guò)
第三方的認(rèn)證,目前這仍然是企業(yè)通過(guò)ISO 27001第三方認(rèn)證的主要原因!
2.監(jiān)管要求:很多企業(yè)由于是上市公司或準(zhǔn)備上市,各國(guó)上市監(jiān)管機(jī)構(gòu)都有內(nèi)控及合規(guī)性的要求,信息安全是內(nèi)控的主要要求
之一,尤其是美國(guó)、日本和歐洲,雖然沒(méi)有明確要求通過(guò)ISO 27001的第三方認(rèn)證,但是作為上市機(jī)構(gòu)的相關(guān)組織通過(guò)第三方
的認(rèn)證更有說(shuō)服力!
3.企業(yè)只身要求:
保護(hù)企業(yè)的知識(shí)產(chǎn)權(quán)、商標(biāo)、商業(yè)流程、競(jìng)爭(zhēng)優(yōu)勢(shì);
維護(hù)企業(yè)的聲譽(yù)、品牌和客戶信任;
減少可能潛在的風(fēng)險(xiǎn)隱患,減少信息系統(tǒng)故障、人員流失帶來(lái)的經(jīng)濟(jì)損失;
強(qiáng)化員工的信息安全意識(shí),規(guī)范組織信息安全行為;
在信息系統(tǒng)受到侵襲時(shí),確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度;
業(yè)務(wù)連續(xù)性(BCM)的要求。
返回到產(chǎn)品展示中心
