信息安全管理体系介绍.pptVIP

信息安全管理体系介绍 主 题 一、信息安全管理体系简介 二、信息安全管理体系现状 三、政府关注信息安全管理体系认证 信息安全管理体系 信息安全是一个广泛而抽象的概念，不同领域不同方面对其概念的阐述都会有所不同。建立在网络基础之上的现代信息系统， 其安全定义较为明确， 那就是： 保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行。在商业和经济领域，信息安全主要强调的是消减并控制风险，保持业务操作的连续性，并将风险造成的损失和影响降低到最低程度。 信息作为一种资产，是企业或组织进行正常商务运作和管理不可或缺的资源。从最高层次来讲，信息安全关系到国家的安全；对组织机构来说，信息安全关系到正常运作和持续发展；就个人而言，信息安全是保护个人隐私和财产的必然要求。无论是个人、组织还是国家，保持关键的信息资产的安全性都是非常重要的。信息安全的任务，就是要采取措施（技术手段及有效管理）让这些信息资产免遭威胁，或者将威胁带来的后果降到最低程度，以此维护组织的正常运作。 据美国FBI统计，美国每年因网络安全问题所造成的经济损失高达100多亿美元，还有日益增加的趋势，那么，信息安全问题主要是由哪方面的原因引起呢？据有关部门统计，在所有的计算机安全事件中，约有52%是人为因素造成的，25%由火灾、水灾等自然灾害引起，技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部不法人员的攻击造成。简单归类，属于管理方面的原因比重高达70%以上，也就是说，真正的信息安全是需要系统的管理来保证的 信息安全应具备以下几个方面的特征： a） 保密性 - 确保信息仅允许授权人员访问。 b） 完整性 - 信息及其处理方法的准确和全面。 c） 可用性 - 确保在需要时，授权用户能访问 到信息、接触到相关资产。 对信息安全而言，应主要考虑以下几种信息类型的安全 a）内部信息 – 组织不对外公开的信息。 b）客户信息 – 客户不想让组织泄露 的信息。 c）共享信息 – 组织需要与其他贸易 合作伙伴分享的信息。 信息安全管理体系 发展历程： 1995年英国标准协会颁布了指南性标准 BS7799-1:1995《信息安全管理实施细则》 1999年，BS7799-1:1995修订后再次由英国标准协会颁布，BS7799-2信息安全管理体系规范也在同年颁布。 2000年12月1日，BS7799第一部分成为ISO17799国际标准，该标准2005年经过最新改版，发展成为ISO/IEC 17799:2005标准。 信息安全管理体系认证 认证(Certification)是第三方依据程序对产品、过程、服务符合规定的要求给予书面保证（合格证书），认证的基础是标准，认证的方法包括对产品的特性的抽样检验和对组织体系的审核与评定，认证的证明方式是认证证书与认证标志。认证是第三方所从事的活动，通过认证活动，组织可以对外提供某种信任与保证，如产品质量保证、信息安全保证等。 目前，世界上普遍采用的信息安全管理体系的认证标准是英国标准协会的信息安全管理委员会指导下制定的ISO/IEC27001：2005信息安全管理体系规范》。 组织实施信息安全管理体系认证，就是根据BS7799标准，建立完整的信息安全管理体系，达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式，用最低的成本，达到可接受的信息安全水平，从根本上保证业务的持续性。 ? 认证的目的和作用 信息安全管理第三方认证为组织的信息安全体系提供客观公正的评价，使组织在信息安全管理方面有更大的可信性，并且能够使用证书向利益相关的组织提供保证；同时，认证能够促进组织间的贸易关系，提高跨行业的信息安全管理水平，从整体上有利于各国的全球贸易的开展。 信息安全管理体系可以保证组织提供可靠的信息安全服务，对该体系进行认证可以树立组织信息安全形象，为客户、合作者提供信息安全信任感，有利于组织业务活动的开展，特别是当信息安全构成组织所提供产品或服务的一个质量特性时，如金融、电信等服务组织，