信息安全發(fā)展至今���,人們?cè)絹?lái)越認(rèn)識(shí)到安全管理在整個(gè)信息安全建設(shè)過(guò)程中的重要性,而作為信息安全
管理方面最著名的國(guó)際標(biāo)準(zhǔn)——ISO27001(即之前所稱的BS7799標(biāo)準(zhǔn)),則成為可以指導(dǎo)我們現(xiàn)實(shí)工作的最
好的參照����。
BS7799是英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(British
Standards Institute��,BSI)于1995年2月制定的信息安全管理標(biāo)
準(zhǔn)�����,分兩個(gè)部分��,其第一部分于2000年被ISO組織采納��,正式成為ISO/IEC 17799標(biāo)準(zhǔn)���。該標(biāo)準(zhǔn)2005年經(jīng)
過(guò)最新改版,發(fā)展成為ISO/IEC 17799:2005標(biāo)準(zhǔn)。BS7799標(biāo)準(zhǔn)的第二部分經(jīng)過(guò)長(zhǎng)時(shí)間討論修訂�,也于2005
年成為正式的ISO標(biāo)準(zhǔn)�����,即ISO/IEC27001:2005�,之后在2013年又做了一次修訂�,最新版為ISO27001:2013�����。
ISO27001:2013標(biāo)準(zhǔn)�����,是建立信息安全管理體系(ISMS)的一套規(guī)范(Specification for Information
SecurityManagement Systems)���,其中詳細(xì)說(shuō)明了建立���、實(shí)施和維護(hù)信息安全管理體系的要求�,指出實(shí)施機(jī)
構(gòu)應(yīng)該遵循的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn),當(dāng)然,如果要得到最終的認(rèn)證(對(duì)依據(jù)ISO27001建立的ISMS進(jìn)行認(rèn)證),還
有一系列相應(yīng)的注冊(cè)認(rèn)證過(guò)程�����。作為一套管理標(biāo)準(zhǔn)����,ISO27001指導(dǎo)相關(guān)人員怎樣去應(yīng)用�����,其最終目的����,還在
于建立適合企業(yè)需要的信息安全管理體系��。
2���、ISMS的特點(diǎn)
信息安全管理體系是一個(gè)系統(tǒng)化���、程序化和文件化的管理體系�����。該體系具有如下特點(diǎn):
n 體系的建立基于系統(tǒng)���、全面���、科學(xué)的安全評(píng)估�����,體現(xiàn)以預(yù)防控制為主的思想�����,強(qiáng)調(diào)遵守國(guó)家有關(guān)信息安全的法律法規(guī)及其他合同方要求���;
n 強(qiáng)調(diào)全過(guò)程和動(dòng)態(tài)控制���,本著控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則合理選擇安全控制方式�;
n 強(qiáng)調(diào)保護(hù)組織所擁有的關(guān)鍵信息資產(chǎn),而不是全部信息資產(chǎn)��,確保信息的機(jī)密性�����、完整性和可用性��,
保持組織的競(jìng)爭(zhēng)優(yōu)勢(shì)和商務(wù)運(yùn)作的持續(xù)性�。
3����、實(shí)施ISMS的作用
組織建立���、實(shí)施與保持信息安全管理體系將會(huì)產(chǎn)生如下作用:
n 強(qiáng)化員工的信息安全意識(shí)���,規(guī)范組織信息安全行為�����;
n 對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù),維持競(jìng)爭(zhēng)優(yōu)勢(shì);
n 在信息系統(tǒng)受到侵襲時(shí)����,確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度;
n 使組織的生意伙伴和客戶對(duì)組織充滿信心��;
n 如果通過(guò)認(rèn)證表明體系符合標(biāo)準(zhǔn)�,證明組織有能力保障重要信息��,提高組織的知名度和信任度���;
n 促使管理層貫徹信息安全保障體系����;
n 組織可以參照信息安全管理模型���,按照先進(jìn)的信息安全管理標(biāo)準(zhǔn)建立組織的信息安全管理體系并實(shí)施保持�����,達(dá)到動(dòng)態(tài)的��、系統(tǒng)的�����、全員參與���、制度化的�����、以預(yù)防為主的信息安全管理方式,用最低的
成本�,達(dá)到可接受的信息安全水平,從根本上保證業(yè)務(wù)的連續(xù)性����。
課程大納:
一、學(xué)習(xí)標(biāo)準(zhǔn)(大約16課時(shí))
二�����、建立體系文件���,識(shí)別風(fēng)險(xiǎn)控制點(diǎn)
三、組織內(nèi)審、管理評(píng)審
四�、申請(qǐng)認(rèn)證
浙公網(wǎng)安備 33010802003509號(hào)