信息是經過分(fēn)析、共享和理解的數據或者資(zī)料。信息同時也是一(yī)種資(zī)産,就如同其它的商(shāng)業資(zī)産一(yī)樣,對一(yī)個組織而言是具有價值的,因而需要妥善保護。
信息安全是防止信息财産被故意的或偶然的非授權洩露、更改、破壞或使信息被非法的系統辨識、控制。即确保信息的完整性、保密性、可用性和可控性。避免攻擊者利用系統的安全漏洞進行竊聽(tīng)、冒充、詐騙等有損于合法用戶的行爲。本質上是充分(fēn)保護本組織信息資(zī)産并給予相關方信心。
信息安全管理體(tǐ)系是組織在整體(tǐ)或特定範圍内建立信息安全方針和目标,以及完成這些目标所用方法的體(tǐ)系。它是直接管理活動的結果,表示成方針、原則、目标、方法、過程、核查表(Checklists)等要素的集合.
ISO27000是信息安全管理體(tǐ)系(ISMS)的規範标準,是爲組織機構提供信息安全認證執行的認證标準,詳細說明了建立、實施和維護信息安全管理體(tǐ)系的要求。
信息安全管理體(tǐ)系的三大(dà)要素
保密性:确保隻有經過授權的人才能存取信息。
完整性:維護提供使用的信息爲正确與完整的,未受破壞或篡改。
可用性:确保經過授權的用戶在需要時可以存取信息并使用相關信息
信息安全管理體(tǐ)系的主要關注焦點
1)以信息安全風險爲關注焦點;
2)以重要資(zī)産爲關注焦點;
3)以組織部門的職責要求爲關注焦點;
4)以信息系統爲關注焦點。
實施信息安全管理體(tǐ)系的重要性
·符合法律法規要求: 證書(shū)的獲得,可以向權威機構表明,組織遵守了所有适用的法律法規。從而保護企業和相關方的信息系統安全、知(zhī)識産權、商(shāng)業秘密等。
·維護企業的聲譽、品牌和客戶信任: 證書(shū)的獲得,可以向合作夥伴、股東和客戶表明組織爲保護信息而付出的努力,令其對組織的信心将得到加強。同樣的,證書(shū)的獲得,有助于确定組織在同行業内的競争優勢,提升其市場地位。事實上,現在很多國際性的投标項目已經開(kāi)始要求ISO27001的符合性了。
·履行信息安全管理責任: 證書(shū)的獲得,本身就能證明組織在各個層面的安全保護上都付出了卓有成效的努力,表明管理層履行了相關責任。
·增強員(yuán)工(gōng)的意識、責任感和相關技能: 證書(shū)的獲得,可以強化員(yuán)工(gōng)的信息安全意識,規範組織信息安全行爲,減少人爲原因造成的不必要的損失。
·保持業務持續發展和競争優勢: 全面的信息安全管理體(tǐ)系的建立,意味着組織核心業務所賴以持續的各項信息資(zī)産得到了妥善保護,并且建立有效的業務持續性計劃框架,提升了組織的核心競争力。
·實現風險管理: 有助于更好地了解信息系統,并找到存在的問題以及保護的辦法,保證組織自身的信息資(zī)産能夠在一(yī)個合理而完整的框架下(xià)得到妥善保護,确保信息環境有序而穩定地運作。
·減少損失,降低成本: ISMS的實施,能降低因爲潛在安全事件發生(shēng)而給組織帶來的損失,在信息系統受到侵襲時,能确保業務持續開(kāi)展并将損失降到最低程度。
信息及其支持過程的系統和網絡都是組織的重要資(zī)産。信息的機密性、完整性和可用性對保持一(yī)個組織的競争優勢、資(zī)金流動、效益、法律符合性和商(shāng)務形象都是至關重要的。
任何組織及其信息系統(如組織的ERP系統)和網絡都可能面臨着包括計算機輔助欺詐、刺探等破壞行爲、火(huǒ)災、水災等大(dà)範圍的安全威脅。随着計算機的日益發展和普及,計算機病毒、計算機服務器的非法入侵破壞已變得日益普遍和錯綜複雜(zá)。
有些組織的信息系統盡管在涉及時可能已考慮了安全,但僅僅依靠技術手段實現安全仍然是有限的,還應當通過管理和程序來支持。
組織可以參照信息安全管理模型,按照先進的信息安全管理标準——ISO27001标準建立組織完整的信息安全管理體(tǐ)系并實施與保持,達到動态的、系統的、全員(yuán)參與、制度化的、以預防爲主的信息安全管理方式,用最低的成本,使信息風險的發生(shēng)概率和結果降低到可接受水平,并采取措施保證業務不會因風險的發生(shēng)而中(zhōng)斷。
組織建立,實施與保持信息安全管理體(tǐ)系會:
1)強化員(yuán)工(gōng)的信息安全意識,規範組織信息安全行爲
2)對組織的關鍵信息資(zī)産進行全面系統的保護,維持競争優勢
3)在信息體(tǐ)系受到侵襲時,确保業務持續開(kāi)展并将損失降到最低程度
4)使組織的生(shēng)意夥伴和客戶對組織充滿信心
1. 策劃階段
包括現狀調查、現場診斷、指導制定貫标工(gōng)作總體(tǐ)方案、指導體(tǐ)系範圍和方針的确定、指導信息安全管理體(tǐ)系要求并确定職能分(fēn)配等。
2.培訓階段
包括ISO 27001标準宣貫和動員(yuán)、講授如何編寫體(tǐ)系文件等。
3.建立安全管理體(tǐ)系方案
包括指導确定評估的方法、指導識别和評估風險、指導選擇控制目标和控制措施等。
4.文件編寫
包括支持ISMS的程序和控制措施文件的編寫,風險評估方法的描述文件的編寫、風險評估報告的編寫、風險處理計劃的編寫、以及适用性聲明的編寫。
5.體(tǐ)系運行
包括信息安全管理體(tǐ)系運行的宣貫、指導并參加内部審核、指導管理評審等。
6.認證階段
包括指導聯系認證機構、指導認證的準備和應對、模拟審核等。
大(dà)成新華成立十多年來,爲300餘家出版、印刷、發行企業提供過認證咨詢及管理咨詢服務,擁有一(yī)批出版印刷專業的專職咨詢師,并積累了大(dà)量的出版印刷企業的咨詢經驗,爲出版印刷企業提供優質咨詢服務。同時,公司還與北(běi)京印刷協會、中(zhōng)國印刷技術協會票據分(fēn)會,北(běi)京印刷學院等多家機構合作,進行印刷課題研究,咨詢項目合作及舉辦行業研讨會。今年4月,我(wǒ)們攜手北(běi)京印協組建印刷行業咨詢專家團隊,聘請了出版印刷界技術權威專家做顧問。在咨詢項目中(zhōng),可以妥善處理管理體(tǐ)系與專業技術接口問題。
随着企業信息化建設的不斷推進,企業對建立信息安全管理體(tǐ)系的需求也與日劇增。由于信息安全管理體(tǐ)系構建、實施、維護的複雜(zá)性,企業或者其他組織需要相應的咨詢機構來幫助架構實現。我(wǒ)公司擁有信息安全管理的專家做專職咨詢師,先後爲北(běi)京金辰西科尼安全印務有限公司、中(zhōng)華商(shāng)務集速智能标簽有限公司、上海安全印務有限公司、中(zhōng)華商(shāng)務安全印務有限公司、北(běi)京銀牡丹印務有限公司、西安西正印制公司等企業提供信息安全管理方面的認證咨詢服務,幫助企業進行信息安全管理體(tǐ)系的建立。
