信息是經過分(fēn)析、共享和理解的數據或者資(zī)料。信息同時也是一(yī)種資(zī)産,就如同其它的商(shāng)業資(zī)産一(yī)樣,對一(yī)個組織而言是具有價值的,因而需要妥善保護。
信息安全是防止信息财産被故意的或偶然的非授權洩露、更改、破壞或使信息被非法的系統辨識、控制。即确保信息的完整性、保密性、可用性和可控性。避免攻擊者利用系統的安全漏洞進行竊聽(tīng)、冒充、詐騙等有損于合法用戶的行爲。本質上是充分(fēn)保護本組織信息資(zī)産并給予相關方信心。
信息安全管理體(tǐ)系是組織在整體(tǐ)或特定範圍内建立信息安全方針和目标,以及完成這些目标所用方法的體(tǐ)系。它是直接管理活動的結果,表示成方針、原則、目标、方法、過程、核查表(Checklists)等要素的集合.
ISO27000是信息安全管理體(tǐ)系(ISMS)的規範标準,是爲組織機構提供信息安全認證執行的認證标準,詳細說明了建立、實施和維護信息安全管理體(tǐ)系的要求。
信息安全管理體(tǐ)系的三大(dà)要素
保密性:确保隻有經過授權的人才能存取信息。
完整性:維護提供使用的信息爲正确與完整的,未受破壞或篡改。
可用性:确保經過授權的用戶在需要時可以存取信息并使用相關信息
信息安全管理體(tǐ)系的主要關注焦點
1)以信息安全風險爲關注焦點;
2)以重要資(zī)産爲關注焦點;
3)以組織部門的職責要求爲關注焦點;
4)以信息系統爲關注焦點。
實施信息安全管理體(tǐ)系的重要性
·符合法律法規要求: 證書(shū)的獲得,可以向權威機構表明,組織遵守了所有适用的法律法規。從而保護企業和相關方的信息系統安全、知(zhī)識産權、商(shāng)業秘密等。
·維護企業的聲譽、品牌和客戶信任: 證書(shū)的獲得,可以向合作夥伴、股東和客戶表明組織爲保護信息而付出的努力,令其對組織的信心将得到加強。同樣的,證書(shū)的獲得,有助于确定組織在同行業内的競争優勢,提升其市場地位。事實上,現在很多國際性的投标項目已經開(kāi)始要求ISO27001的符合性了。
·履行信息安全管理責任: 證書(shū)的獲得,本身就能證明組織在各個層面的安全保護上都付出了卓有成效的努力,表明管理層履行了相關責任。
·增強員(yuán)工(gōng)的意識、責任感和相關技能: 證書(shū)的獲得,可以強化員(yuán)工(gōng)的信息安全意識,規範組織信息安全行爲,減少人爲原因造成的不必要的損失。
·保持業務持續發展和競争優勢: 全面的信息安全管理體(tǐ)系的建立,意味着組織核心業務所賴以持續的各項信息資(zī)産得到了妥善保護,并且建立有效的業務持續性計劃框架,提升了組織的核心競争力。
·實現風險管理: 有助于更好地了解信息系統,并找到存在的問題以及保護的辦法,保證組織自身的信息資(zī)産能夠在一(yī)個合理而完整的框架下(xià)得到妥善保護,确保信息環境有序而穩定地運作。
·減少損失,降低成本: ISMS的實施,能降低因爲潛在安全事件發生(shēng)而給組織帶來的損失,在信息系統受到侵襲時,能确保業務持續開(kāi)展并将損失降到最低程度。
信息及其支持過程的系統和網絡都是組織的重要資(zī)産。信息的機密性、完整性和可用性對保持一(yī)個組織的競争優勢、資(zī)金流動、效益、法律符合性和商(shāng)務形象都是至關重要的。
任何組織及其信息系統(如組織的ERP系統)和網絡都可能面臨着包括計算機輔助欺詐、刺探等破壞行爲、火(huǒ)災、水災等大(dà)範圍的安全威脅。随着計算機的日益發展和普及,計算機病毒、計算機服務器的非法入侵破壞已變得日益普遍和錯綜複雜(zá)。
有些組織的信息系統盡管在涉及時可能已考慮了安全,但僅僅依靠技術手段實現安全仍然是有限的,還應當通過管理和程序來支持。
組織可以參照信息安全管理模型,按照先進的信息安全管理标準——ISO27001标準建立組織完整的信息安全管理體(tǐ)系并實施與保持,達到動态的、系統的、全員(yuán)參與、制度化的、以預防爲主的信息安全管理方式,用最低的成本,使信息風險的發生(shēng)概率和結果降低到可接受水平,并采取措施保證業務不會因風險的發生(shēng)而中(zhōng)斷。
組織建立,實施與保持信息安全管理體(tǐ)系會:
1)強化員(yuán)工(gōng)的信息安全意識,規範組織信息安全行爲
2)對組織的關鍵信息資(zī)産進行全面系統的保護,維持競争優勢
3)在信息體(tǐ)系受到侵襲時,确保業務持續開(kāi)展并将損失降到最低程度
4)使組織的生(shēng)意夥伴和客戶對組織充滿信心
