IT相关资质认证.pdf

IT 相关资质认证 ISO27001 信息安全管理体系 信息安全管理体系简介： 信息安全是一个广泛而抽象的概念，不同领域不同方面对其概念的阐述都会有所 不同。建立在网络基础之上的现代信息系统，其安全定义较为明确，那就是：保 护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、 更改及泄露，保证信息系统能够连续、可靠、正常地运行。在商业和经济领域， 信息安全主要强调的是消减并控制风险，保持业务运营的连续性，并将风险造成 的损失和影响降低到最低程度。 信息作为一种资产，是企业或组织进行正常业务运作和管理不可或缺的资源。从 最高层次来讲，信息安全关系到国家的安全；对组织机构来说，信息安全关系到 业务正常运作和持续发展；对一个企业来说，生存发展是头等大事，而企业的生 存和发展，有赖于企业所特有的各项业务活动的健康有序的进行，对现代企业来 说，高度信息化是必然之道，是企业一切业务、管理和运作活动所依赖的基础之 一；就个人而言，信息安全是保护个人隐私和财产的必然要求。无论是个人、组 织还是国家，保持关键的信息资产的安全性都是非常重要的。信息安全的任务， 就是要采取措施 （技术手段及有效管理）让这些信息资产免遭威胁，或者将威胁 带来的后果降到最低程度，以此维护组织的正常运作。 总的来说，凡是涉及到性、完整性、可用性、可追溯性、真实性和可靠性保护等 方面的技术和理论，都是信息安全所要研究的畴，也是信息安全所要实现的目标。 2、什么是信息安全管理体系 信息安全管理体系（Information Security Management System，简称 ISMS） 是组织整体管理体系的一个部分，是组织在整体或特定围建立信息安全方针和目 标，以及完成这些目标所用方法的体系。基于对业务风险的认识，ISMS 包括建 立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动，并且 表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、 资源等诸多要素的集合。 ISO/IEC27001:2005 就是建立和维护信息安全管理体系的标准，是国际最具权威 的适用于各类组织的信息安全整体解决方案，它要求通过PDCA 过程来建立 ISMS 框架：确定体系围，制定信息安全策略，明确管理职责，通过风险评估确定控制 目标和控制方式。体系一旦建立，组织应该实施、维护和持续改进ISMS，保持 体系运作的有效性。同时，ISO/IEC27001:2005 也非常强调信息安全管理过程中 文件化的工作，ISMS 的文件体系应该包括安全策略、适用性声明（选择与未选 择的控制目标和控制措施）、实施安全控制所需的程序文件、ISMS 控制和操作 程序，以及组织围绕 ISMS 开展的所有活动的证明材料。除此之外，它还提供了 国际上知名企业在信息安全方面的 133 个良好实践惯例，通过对组织中涉及信息 安全的 11大领域实施这 133个控制措施来达到涵盖整个组织信息安全的 39 个控 制目标，从而实现整个组织的业务持续发展战略。 ISO27001 信息安全管理系统标准： 随着网络逐步的进入社会。越来越多的接解到网络。网络的普及给人们的生活带 来了极大的便利；但网络同时作一柄双刃剑，给社会用个人也带来了相当的威胁。 当信息被意外或刻意的传给恶意的接收者时，对个人或单位都会带来极大的伤 害。有的企业会因为信息的外泄而倒闭。在当今的信息时代，科技无疑为我们解 决了很多问题。 国际标准组织(ISO)应此类需求，制定了 ISO27001:2005 标准，为如何建立、推 行、维持及改善信息安全管理系统提供帮助。信息安全管理系统(ISMS)是高层管 理人员用以监察及控制信息安全、减少商业风险和确保保安系统持续符合企业、 客户及法律要求的一个体系。ISO/IEC 27001:2005 能协助机构保护专利信息， 同时也为制定统一的机构保安标准搭建了一个平台，更有助于提升安全管理的实 务表现和增强机构间商业往来的信心与信任。 什么机构可采用 ISO/IEC 27001:2005 标准？ 任何使用部或外部电脑系统、拥有资料及/或依靠信息系统进行商业活动地机构， 均可采用 ISO/IEC 27001:2005 标准。简单的说，也就是那些需要处理信息、并 认识到信息保护重要性的机构。 ISO/IEC 27001 的控制目标及措施 ISO/IEC 27001 制定的宗旨是确保机构信息的性、完整性及可用性，为达成上述 宗旨，该标准共提出了 39 个控制目标及 134 项控制措施，推行 ISO/IEC 27001 标