信息安全管理體系
作者:匿名 來源:本站原創 發布:2016年6月12日 修改:2016年6月12日 所屬分類:信息安全管理體系認證 訪問統計:3629
| 認證簡介 |
| |
|
基本介紹
隨著信息技術的高速發展,特別是Internet的問世及網上交易的啟用,系統癱瘓、黑客入侵、病毒感染�����、網頁改寫���、客戶資料的流失及公司內部資料的泄露等信息安全問題也紛紛出現�����,給組織的經營管理�、生存甚至國家安全都帶來嚴重的影響��。為此�,國際標準化組織(ISO)和國際電工委員會(IEC)于2005年10月15日聯合發布了國際標準ISO/IEC 27001《信息技術-安全技術-信息安全管理體系-要求》�����,旨在為所有類型的組織�����,包括政府�����、銀行�����、電訊、研究機構��、外包服務企業���、軟件服務企業等���,在建立��、實施��、運行、監視���、評審、保持和改進信息安全管理體系時提供模型�����,并規定了為適應不同組織或其部門的需要而制定安全控制措施的實施要求��。ISO/IEC 27001標準涉及了最廣泛意義上的信息安全�����,為組織實施��、維護和管理信息安全提供了最好的商業操作指南和原則�����,并可以用作第三方認證的依據��。2008年6月19日,我國等同采用發布了GB/T 22080-2008標準��。
標準特點
● 基于風險管理的思想���,指導組織建立信息安全管理體系
● 基于系統���、全面��、科學的安全風險評估���,體現預防控制為主的思想
● 強調遵守國家有關信息安全的法律法規及其他合同方要求
● 強調全過程和動態控制
● 用于保護組織信息資產�,防止信息資產遭受危害的管理工具�����,通過對所有潛在信息風險進行分析�,確定預防措施�。減少、防止信息威脅的發生
● 強調確保信息的保密性���、完整性和可用性
● 體現信息安全不是單一的技術問題,是一個集管理���、法規、技術綜合作用為一體的�、長期的�����、復雜的系統工程的指導思想
實施意義
● 有一套“量體裁衣”的信息安全管理控制措施和保護信息資產的制度框架
● 形成了高層管理人員與技術負責人進行信息安全溝通的共同語言
● 使組織將IT策略和組織發展方向統一起來�����,確保與IT相關的風險受到適當的控制
● 通過方針���、慣例�����、程序、組織結構和軟件功能來確定控制方式并實施控制�����,持續提高組織信息安全管理水平
● 降低信息安全對持續發展造成的風險��,利用信息技術為組織創造新的戰略競爭機遇
● 根據控制費用與風險平衡的原則合理選擇安全控制方式
● 使信息風險的發生概率和結果降低到可接受收水平��,保持組織業務運作的持續性
|
|
|
