2015信息安全管理体系认证简介.docVIP

信息安全管理体系认证简介 信息安全管理 随着以计算机和网络通信为代表的信息技术（IT）的迅猛发展，政府部门、金融机构、企事业单位和商业组织对IT 系统的依赖也日益加重，信息技术几乎渗透到了世界各地和社会生活的方方面面。如今，遍布全球的互联网使得组织机构不仅内在依赖IT 系统，还不可避免地与外部的IT 系统建立了错综复杂的联系，但系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等事情时有发生，这些给组织的经营管理、生存甚至国家安全都带来严重的影响。所以，对信息加以保护，防范信息的损坏和泄露，已成为当前迫切需要解决的问题。 整体规划的信息系统与业务之安全与正常运作目前，在信息安全管理方面，ISO/IEC27001:2005已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001BS7799转换而成的。 BS7799标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，适用于大、中、小组织。1998年英国公布标准的第二部分BS 7799-《信息安全管理体系规范》，它规定信息安全管理体系要求与信息安全控制要求，是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于 1999年重新予以发布，1999版考虑了信息处理技术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全及信息安全的责任。 2000年12月，BS7799-1：1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准----- ISO/IEC17799：2000《信息技术-信息安全管理实施细则》ISO/IEC17799：200。2002年9月5日，BS7799-2:2002正式。2002正式转换为国际标准ISO/IEC27001：200ISO/IEC27001：200ISO/IEC27001：200 安全方针――管理层应对信息安全提出明确目标，并制定出可操作的安全管理策略 安全组织――在组织、与第三方有关、及外包管理安全问题 资产分类与管理――对与信息技术有关的资产进行分类，加强与信息技术有关的资产分类管理，并对这些资产就价值和重要性进行分类标识，实施不同安全措施对这些资产进行保护。 明确工作人员在招聘、雇佣、解聘过程中所涉及的信息保密等安全问题，加强对工作人员信息安全培训与教育，提高工作人员安全防范意识， 物理和环境安全――分析安全威胁来源，划分物理安全区域，加强对后台计算机服务器与用户桌面计算机的保护，防止因水、火、盗窃、雷电、电力供应、化学腐蚀等因素带来的安全威胁，并制定计算机设备引进、日常运行、销毁处理程序和办法。 覆盖应用系统日常运营和维护程序、服务水平管理、网络管理、存储介质管理、防恶意软件攻击保护、系统和数据备份与恢复管理、信息交换管理等 访问控制――定义用户存取控制策略，管理用户存取过程，包括对网络存取控制、操作系统、应用系统及移动设备和远程工作设备进行存取控制。 明确应用系统安全需求，包括输入数据校验、输出数据校验、业务处理过程校验、传输数据认证等;确定加密控制办法，包括加密、数字签名、不可否认服务、密钥管理等管控办法;确定系统文件的安全保护办法，以及开发和支持过程的安全管理办法。 信息安全事件管理――确保安全事件发生后有正确的处理流程和报告方式。 业务持续性管理――定义业务持续性管理过程，业务持续性和影响过程分析，制定和执行切实可行的业务持续性计划，定期测试、维护、演练、重新评估业务持续性计划 符合性――识别现有适用的法律法规，保护个人信息的隐私;使用合法的、正版的系统软件与应用软件;加强计算机安全审计，保障技术和安全策略的合规性的合规性。 信息安全管理体系认证 BS7799-2 从199年，。ISMS International User Group）的最新统计，到2005年底，全球通过信息安全管理体系BS 7799-2认证的组织已经超过2000家。 信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制从目前的获得认证的企业情况ISO27001/BS7799 标准并且获得信息安全管理体系认证证书，虽然不能证明组织达到了100％的安全，但通过信息安全管理体系的认证能够强有力保障组织的信息资产的保密性、完整性和可用性，并能带来如下好处： 加强公司信息的安全性、保障业务持续性与紧急恢复 减少可能潜在的风险隐患减少信息系统故障、人员流失带来的经济损失维