ISO2700体系推广.docVIP

HYPERLINK 海石威----专业从事质量管理体系咨询ISO27001体系推广什么是信息安全信息安全事件案例案例1：2001年9.11恐怖分子袭击了美国世贸中心大楼后，40%的企业由于数据丢失，根本无法恢复工作数据。7号楼是美国中央情报局纽约分局的秘密办公地点，由于忽视了计算机网络容灾系统建设，计算机系统受到破坏，情报工作受重创。有关间谍活动大批机密档案和情报灰飞烟灭。案例2：美国当地时间2005年6月17日案例3：英国银行账户资料遭泄露案：2007年12月21日，英国《泰晤士报》报道，100多个网站正在热销英国银行账户资料，包括银行账号、个人身份号码(PIN)和密码等。有人声称可以提供3万个英国信用卡账号，每个售价不到1英镑(约合2美元)。案例4：北京互联网2005年7月断网事件：2005年7月12日下午2点半至4点半左右，北京网通ADSL网络发生大面积故障，ADSL用户无法上网，造成个人用户和组织用户无法使用网络，造成了巨大的损失案例5：2011年1月10日，新民晚报上登载澳四百多万用户信息网上泄露事件，400多万澳大利亚移动电话客户的个人信息在网上被泄露，而服务这些客户的公司是澳大利亚最大的移动运营商沃达丰公司。案例6：1986年，芝加哥玩具博览会，一家飞机和舰船塑料模型制造商推出一款比例为1：48的隐形战斗机玩具模型，与实物相似程度不低于80%，引起苏联等国驻美人员争相购买。该模型与一直保密的F-117A隐形战斗机有不少相似之处。美军方对F-117A的研制主承包商——洛克希德公司——进行了追究和惩罚。案例……：艳照门、断网门……触目惊心的信息安全事件一件件的发生了，这些事件的严重后果告诉我们，对于任何一个组织来说，业务开展既依赖于关键人员又依靠重要信息和它们运行的系统。组织的关键信息需要善加保护，因此应当确保业务赖以运行的信息不受损坏，而且使其可在发生灾难时加以利用。那么在解决这些问题之前，首先需要了解一下什么是信息？信息的定义信息是经过分析、共享和理解的数据或者资料。信息同时也是一种资产，就如同其它的商业资产一样，对一个组织而言是具有价值的，因而需要妥善保护。信息包括政府信息、内部信息、客户信息、公开信息等，它可以是列印或写在纸张上的；用电子方式储存的；以邮件传输（包括电子邮件）；以影视或胶片方式表现的；也可能存在于人的大脑中的。根据有关数据统计：信息存储介质的比例分别为42%大脑里 、26%纸质、20%电子、12%其它。所以信息安全管理体系实施，技术（技术手段）与管理（管理体系）必须同时并重，而且最重要的是人的素质和人的意识，正可谓是三分技术，七分管理。信息安全问题产生的原因由于信息自身所具备的价值性和固有的脆弱性，造成了信息在在建立、传送、使用的过程中，由于组织忽视了自身管理活动和服务活动中的信息安全管理行为，造成了信息的丢失和损坏。例如：设备没有定期维护；工作设备带出，但事先数据没有备份与加密；通信和操作角色权限变更管理；责任出现分割；没有注重恶意代码的控制，对控件、中间件、自动脚本等，没有对其运行做出规定。注重备份，但不注重备份的检查和恢复测试；对移动设备的使用没有限制，对作废介质的处理没有限制；对员工如何使用网络资源没有限制，对员工在个人电脑上安装、卸载软件没有限制；对个人的网络、应用软件的口令缺乏保密意识，其它人可用本人的用户名登录，或几个人使用一个用户名；没有定期更换口令的习惯，口令长度、强度不够很容易被猜到；离开电脑时没有锁定电脑桌面的习惯；在公共场合谈论公司的事情，可能被有心人得到相关信息；发生这些影响信息安全行为的根本原因是由于任何组织都存在脆弱性：IT人才流动性强，安全人员缺乏。网络设备提供太多方便，文档易被复制、删除和交换人的意识，安全意识薄弱。保密制度不完善。 管理手段，系统默认配置。信息安全管理系统存在漏洞。个人的不良习惯。信息安全标准的基本情况介绍ISO/IEC27001信息安全管理体系（ISMS）标准为企业和单位提供一套管理工具，从而降低了相应的风险，确保企业业务的连续性。推行ISO/IEC27001标准的组织将受益匪浅：由于按照国际标准实施适当的控制措施，组织便能自行将信息保安的失误率降至最低。以系统化的方法处理符合法律的问题，从而降低所需承担的法律责任风险。以系统化的方法计划及管理运营的持续性。增强客户、合作伙伴和相关人士对机构的信心。 标准的起源和发展信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。目前，在信息安全管理体系方面，ISO/IEC27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适