ISO 270001 信息安全管理体系标准业务.pdfVIP

业务介绍 业务流程 赛宝能力 服务指南 意见反馈 一、 信息安全管理体系标准业务介绍 1、 背景介绍 信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展， 特别是Internet 的问世及网上交易的启用，许多信息安全的问题也纷纷出现： 系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的 泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安 全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间 接损失和法律损失： ·直接损失：丢失订单，减少直接收入，损失生产率； ·间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去 未来的业务机会，影响股票市值或政治声誉； ·法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。 所以，在享用现代信息系统带来的快捷、方便的同时，如何充分防范信息的 损坏和泄露，已成为当前企业迫切需要解决的问题。 俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络 技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威 胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相 应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在 一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理 思想也是一个重要的问题。所以，我们需要一个系统的、整体规划的信息安全管 理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运 作。 2、标准发展 目前，在信息安全管理体系方面，ISO27001:2005――信息安全管理体系标 准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性 质、各种规模的组织，如政府、银行、电讯、研究机构、外包服务企业、软件服 务企业等。 2008 年6 月，ISO27001 同等转换成国内标准GB/T22080-2008，并在2008 年11 月1 日正式实施。 经过多年的发展，信息安全管理体系国际标准已经出版了一系列的标准，其 中ISO/IEC27001 是可用于认证的标准，其他标准可为实施信息安全管理的组织 提供实施的指南。目前各标准的现行状态如下表1： 表1 ISO27000 标准族现行状态 标准编号 标准名称 现行状态 序号 1 ISO27000 信息技术 –安全技术 - 信息安全管理2009 年出版 体系 - 概论及术语 2 ISO27001 信息技术 –安全技术 - 信息安全管理2005 年出版 体系 - 要求 3 ISO/IEC 27002 信息技术 –安全技术 - 信息安全管理2005 年出版 - 为规范 4 ISO/IEC 27003 信息技术 –安全技术 - 信息安全管理2010 年出版 体系 - 实施指南 5 ISO/IEC 27004 信息技术 –安全技术 - 信息安全管理2009 年出版 - 测量 6 ISO/IEC 27005 信息技术 –安全技术 - 信息安全风险2008 年出版 管理 7 ISO/IEC 27006 信息技术 –安全技术 - 认证机构要求2007 年出版 8 ISO/IEC 27007 信息技术 –安全技术 - 信息安全管理委员会草案 体系审核指南 9 ISO/IEC 27008 控制审核员指南 委员会草案 10 ISO/IEC 27010 行业间交流的信息安