信息安全發(fā)展至今���,人們?cè)絹?lái)越認(rèn)識(shí)到安全管理在整個(gè)信息安全建設(shè)過(guò)程中的重要性����,而作為信息安全
管理方面最著名的國(guó)際標(biāo)準(zhǔn)——ISO27001(即之前所稱(chēng)的BS7799標(biāo)準(zhǔn))�����,則成為可以指導(dǎo)我們現(xiàn)實(shí)工作的最
好的參照。
BS7799是英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(British
Standards Institute�����,BSI)于1995年2月制定的信息安全管理標(biāo)
準(zhǔn)��,分兩個(gè)部分�,其第一部分于2000年被ISO組織采納,正式成為ISO/IEC 17799標(biāo)準(zhǔn)����。該標(biāo)準(zhǔn)2005年經(jīng)
過(guò)最新改版�����,發(fā)展成為ISO/IEC 17799:2005標(biāo)準(zhǔn)。BS7799標(biāo)準(zhǔn)的第二部分經(jīng)過(guò)長(zhǎng)時(shí)間討論修訂����,也于2005
年成為正式的ISO標(biāo)準(zhǔn),即ISO/IEC27001:2005���,之后在2013年又做了一次修訂�����,最新版為ISO27001:2013�。
ISO27001:2013標(biāo)準(zhǔn),是建立信息安全管理體系(ISMS)的一套規(guī)范(Specification for Information
SecurityManagement Systems),其中詳細(xì)說(shuō)明了建立�����、實(shí)施和維護(hù)信息安全管理體系的要求,指出實(shí)施機(jī)
構(gòu)應(yīng)該遵循的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)��,當(dāng)然,如果要得到最終的認(rèn)證(對(duì)依據(jù)ISO27001建立的ISMS進(jìn)行認(rèn)證)���,還
有一系列相應(yīng)的注冊(cè)認(rèn)證過(guò)程。作為一套管理標(biāo)準(zhǔn)����,ISO27001指導(dǎo)相關(guān)人員怎樣去應(yīng)用,其最終目的���,還在
于建立適合企業(yè)需要的信息安全管理體系�。
2、ISMS的特點(diǎn)
信息安全管理體系是一個(gè)系統(tǒng)化、程序化和文件化的管理體系���。該體系具有如下特點(diǎn):
n 體系的建立基于系統(tǒng)�����、全面、科學(xué)的安全評(píng)估�,體現(xiàn)以預(yù)防控制為主的思想�����,強(qiáng)調(diào)遵守國(guó)家有關(guān)信息安全的法律法規(guī)及其他合同方要求�;
n 強(qiáng)調(diào)全過(guò)程和動(dòng)態(tài)控制���,本著控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則合理選擇安全控制方式��;
n 強(qiáng)調(diào)保護(hù)組織所擁有的關(guān)鍵信息資產(chǎn),而不是全部信息資產(chǎn),確保信息的機(jī)密性�����、完整性和可用性�,
保持組織的競(jìng)爭(zhēng)優(yōu)勢(shì)和商務(wù)運(yùn)作的持續(xù)性。
3、實(shí)施ISMS的作用
組織建立、實(shí)施與保持信息安全管理體系將會(huì)產(chǎn)生如下作用:
n 強(qiáng)化員工的信息安全意識(shí)���,規(guī)范組織信息安全行為;
n 對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)���,維持競(jìng)爭(zhēng)優(yōu)勢(shì)�����;
n 在信息系統(tǒng)受到侵襲時(shí)��,確保業(yè)務(wù)持續(xù)開(kāi)展并將損失降到最低程度���;
n 使組織的生意伙伴和客戶(hù)對(duì)組織充滿(mǎn)信心;
n 如果通過(guò)認(rèn)證表明體系符合標(biāo)準(zhǔn)�����,證明組織有能力保障重要信息��,提高組織的知名度和信任度���;
n 促使管理層貫徹信息安全保障體系;
n 組織可以參照信息安全管理模型�,按照先進(jìn)的信息安全管理標(biāo)準(zhǔn)建立組織的信息安全管理體系并實(shí)施保持����,達(dá)到動(dòng)態(tài)的��、系統(tǒng)的���、全員參與���、制度化的、以預(yù)防為主的信息安全管理方式���,用最低的
成本�,達(dá)到可接受的信息安全水平����,從根本上保證業(yè)務(wù)的連續(xù)性。
課程大納:
一��、學(xué)習(xí)標(biāo)準(zhǔn)(大約16課時(shí))
二�、建立體系文件,識(shí)別風(fēng)險(xiǎn)控制點(diǎn)
三���、組織內(nèi)審����、管理評(píng)審
四、申請(qǐng)認(rèn)證
浙公網(wǎng)安備 33010802003509號(hào)