iso认证咨询选机构杭州贝安咨询,ISO质量认证,iso认证/ISO14001/OHSAS18001/ISO22000/ISO13485/系统集成认证
ISO27000/BS7799为保障信息的性、完整性和可用性提供了典范。ISO27000/BS7799是由英国标准协会(British Standa*** Institution,简称BSI)制定的信息安全管理体系标准。它包括两部分,其部分《信息安全管理实施规则》于2000年12月被国际化标准***(ISO)纳入世界标准,编号为ISO/IEC 17799。ISO27000/BS7799广泛地涵盖了所有的信息安全议题,如安全方针的制定、安全责任的归属、风险的评估、定义与强化安全参数及访问控制,甚至包含防病相关策略等。ISO27000/BS7799已经成为国际公认的信息安全实施标准,适用于各种产业与***。
近日,我刊主办了ISO27000/BS7799的系列培训,内容涵盖了从具体的安全解决方案如设计和实施信息安全管理规划,安全架构搭建,ISO27000/BS7799的审核到IT总体规划的各个方面。讲座受到了广大行业和企业用户的欢迎。
为了更系统、更准确地将ISO27000/BS7799的知识介绍给更广大的读者,从本期开始,我们将配合培训***系列讲座。该讲座将对***信息安全的需求和ISO/IEC 17799国际标准进行探讨,并讲解ISO27000/BS7799-2:2002对信息安全管理体系的要求。同时探讨信息安全的控制方法和风险评估及信息安全管理体系内部审核的基本概念、审核流程、体系的概念及审核重要进行的主要活动和审核技巧等等。
***为达到保护信息资产的目的,应在“以人为本”的基础上,充分利用现有的ISO13335、ISO27000/BS7799、CoBIT、ITIL等信息系统管理服务标准与实践,制定出周密的、系统的、适合***自身需求的信息安全管理体系。
从宏观的角度来看,我们认为信息安全可以由HTP模型来描述:人员与管理、技术与产品、流程与体系。
在充分理解***业务目标、***文件及信息安全的条件下,通过ISO13335的风险分析的方法,通过建立***的信息安全基线,可以对***的安全的现状有一个清晰的了解,并可以为以后进行安全控制绩效分析提供评价基础。
长期以来,由于媒体报道的侧***以及生产商的广告宣传等多种因素的影响,国内公众对安全的认识被广泛误导。有相当一部分人认为,病毒就已经涵盖了信息安全的一切威胁,似乎信息安全工作就是完全在与与病毒打交道,系统的安全解决方案就是部署反病毒软件、防火墙、检测系统。这种偏面的看法对一个***实施有效的信息安全保护带来了不良影响。
目前,各厂商、各标准化***都基于各自的角度提出了各种信息安全管理的体系标准。这些基于产品、技术与管理层面的标准在某些领域得到了很好的应用,但从***信息安全的各个角度和整个生命周期来考察,现有的信息安全管理体系与标准是不够完备的,特别是忽略了***中活跃的因素—人的作用。考察国内外的各种信息安全事件,不难发现,在信息安全事件表象后面,其实都是人的因素在起决定作用。不完备的安全体系是不能保证日趋复杂的***信息系统安全性的。
因此,***为达到保护信息资产的目的,应在“以人为本”的基础上,充分利用现有的ISO13335、ISO27000/BS7799、CoBIT、ITIL等信息系统管理服务标准与实践,制定出周密的、系统的、适合***自身需求的信息安全管理体系。
什么是HTP模型
信息安全的建设是一个系统工程,它需求对信息系统的各个环节进行统一的综合考虑、规划和构架,并要时时兼顾***内不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁。在这里可以引用管理学上的木桶原理加以说明。木桶原理指的是:一个木桶由许多块木板组成,如果组成木桶的这些木板长短不一,那么木桶的容量不取决于长的木板,而取决于短的那块木板。这个原理同样适用信息安全。
一个***的信息安全水平将由与信息安全有关的所有环节中薄弱的环节决定。信息从产生到销毁的生命周期过程中,包括了产生、收集、加工、交换、存储、检索、存档、销毁等多个事件,表现形式和载体会发生各种变化,这些环节中的任何一个都可能影响整体信息安全水平。要实现信息安全目标,一个***必须使构成安全防范体系这只“木桶”的所有木板都要达到一定的长度。从宏观的角度来看,我们认为信息安全可以用HTP模型(模型图见下页)来描述:人员与管理(Human and management)、技术与产品(Technology and products)、流程与体系(Process and Framework)。
其中人是信息安全活跃的因素,人的行为是信息安全保障主要的方面。人特别是内部员工既可以是对信息系统的潜在威胁,也可以是的安全防线。统计结果表明,在所有的信息安全事故中,只有30%是由于或其他外部原因造成得,70%是由于内部员工的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌,就会发现安全问题实际上都是人的问题,单凭技术是无法实现从“威胁”到“防线”转变的。以往的各种安全模型,其的缺陷是忽略了对人的因素的考虑,在信息安全问题上,要以人为本,人的因素比信息安全技术和产品的因素更重要。与人相关的安全问题涉及面很广,从***的角度考虑有***、***、政策问题;从***角度考虑有安全方针政策程序、安全管理、安全教育与培训、***文化、应急计划和业务持续性管理等问题;从个人角度来看有职业要求、个人隐私、行为学、心理学等问题。
在信息安全的技术防范措施上,可以综合采用商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份***、PKI服务、***、网络陷阱、主动反击等多种技术与产品来保护信息系统安全,但不应把部署所有安全产品与技术和追求信息安全的为目标。安全成本太高,安全也就失去其意义。***实现信息安全应采用“适度防范”(Rightsizing)的原则,就是在风险评估的前提下,引入恰当的控制措施,使***的风险降到可以接受的水平,保证***的业务的连续性和商业价值化就达到了安全的目的。
杭州贝安***提供ISO27000认证认证咨询热点: ISO体系认证优势: 协助企业顺利通过 | 安全管理体系杭州贝安***提供ISO9001﹨14001﹨18001,质量环境安全管理体系咨询,协助企业顺利通过认证
商业风险管理--信息安全管理体系ISO27000/BS7799[现代企业对信息的依赖越来越大,没有各种信息的支持,企业就不能发展。事实上,信息已成为现代企业的一种重要资产,成为企业成功的关键所在。这种资产,更需要加以妥善保护。否则,可能由于人员的原因(疏忽、跳槽、***)、竞争对手原因(商业收买、、网络攻击)和自然灾害(火灾、水灾、)等 原因,在一瞬间被毁灭、消失、损坏、、贬值、转移,给企业带来致命的打击。
什么是信息
信息: 不仅仅是计算机、网络相关的数据、资料, 也包括: 专利 商业档案 文件 标准 专有技术 统计数据 图样 配方 报价 规章制度 财务数据 工艺 计划 资源配置管理体系 .
如何保护您的信息安全,使商业风险降低到可接受的水平?
发达***经过多年的研究, 已形成完善的信息安全管理方法,并用可以普遍采用的标准形式表达出来,即: ISO27000/BS7799 --信息安全管理体系(ISO/IEC 17799).
对信息进行风险管理的目的?
使信息风险的发生概率和结果降低到可接受收水平,并采取措施保证业务不会因风险的发生而中断。
杭州贝安***提供ISO27000认证认证咨询热点: ISO体系认证优势: 协助企业顺利通过 | 安全管理体系杭州贝安***提供ISO9001﹨14001﹨18001,质量环境安全管理体系咨询,协助企业顺利通过认证
建立信息安全管理体系(I***S)对任何***都具有重要意义
任何***,不论它在信息技术方面如何努力以及采纳如何新的信息安全技术,实际上在信息安全管理方面都还存在漏洞,例如:
1. 缺少信息安全管理论坛,安全导向不明确,管理支持不明显;
2. 缺少跨部门的信息安全协调机制;
3. 保护特定资产以及完成特定安全过程的职责还不明确;
4. 雇员信息安全意识薄弱,缺少防范意识,外来人员很容易直接进入生产和工作场所;
5. ***信息系统管理制度不够健全;
6. ***信息系统主机房安全存在隐患,如:防火设施存在问题,与***品仓库同处一幢办公楼等;
7. ***信息系统备份设备仍有欠缺;
8. ***信息系统安全防范技术投入欠缺;
9. 软件知识产权保护欠缺;
10. 计算机房、办公场所等物理防范措施欠缺;
11. 档案、记录等缺少可靠贮存场所;
12. 缺少一旦发生意外时的保证生产经营连续性的措施和计划;
…….等等
通过以上信息管理方面的漏洞以及经常见诸报端的种种信息安全事件表明,任何***都急需建立信息安全管理体系,以保障其技术和商,保障信息的完整性和可用性,终保持其生产、经营活动的连续性。