信息是組織的血液���,存在的方式各異��?����?梢允谴蛴?,手寫�����,也可以是電子��,演示和口述的�。當今商業(yè)競爭日趨激烈,來源于不同渠道的信息��,威脅到信息的一致性�。它們來自內(nèi)部,外部����,意外的����,還可能是惡意的��。隨著信息儲存��,發(fā)送新技術的廣泛使用��,我們面臨的各種風險也在增高��。信息安全越來越重要�����!信息安全不是有一個終端防火墻���,或找一個24小時提供信息安全服務的公司就可以達到的。它需要全面的綜合管理���。信息安全管理體系的引入���,可以協(xié)調各個方面信息管理,使管理更為有效���。信息安全管理體系是系統(tǒng)的對組織敏感信息及信息資產(chǎn)進行管理�,涉及到人,程序和信息科技(IT)系統(tǒng)���。需要建立廣泛的信息安全方針���。保證安全性,公正性�。適用組織內(nèi)部和客戶。信息安全管理體系ISMS正成為世界上管理體系標準銷售增長量最大的產(chǎn)品��。
信息安全管理體系(Information security management systems�����,簡稱ISMS)(即ISO/IEC 27000系列)是目前國際信息安全管理標準研究的重點���。
ISO27000 系列共包括10個標準�����,當前已經(jīng)發(fā)布和在研究的有6個��,分別為:
1����、ISO/IEC 27000《信息安全管理體系 基礎和詞匯》;
2�����、ISO/IEC 27001:2005《信息安全管理體系 要求》�;
3、ISO/IEC 17799:2005《信息安全管理實用規(guī)則》(2007年4月后����,編號將改為27002);
4����、ISO/IEC 27003《信息安全管理體系實施指南》;
5�、ISO/IEC 27004《信息安全管理測量》;
6��、ISO/IEC 27005《信息安全風險管理》�。
一�、什么是信息安全?像其他重要業(yè)務資產(chǎn)一樣,信息也是對組織業(yè)務至關重要的一種資產(chǎn)����,因此需要加以適當?shù)乇Wo。在業(yè)務環(huán)境互連日益增加的情況下這一點顯得尤為重要����。這種互連性的增加導致信息暴露于日益增多的、范圍越來越廣的威脅和脆弱性當中(也可參考關于信息系統(tǒng)和網(wǎng)絡的安全的OECD指南)���。信息可以以多種形式存在�。它可以打印或寫在紙上�、以電子方式存儲、用郵寄或電子手段傳送���、呈現(xiàn)在膠片上或用語言表達�����。無論信息以什么形式存在��,用哪種方法存儲或共享����,都應對它進行適當?shù)乇Wo。信息安全是保護信息免受各種威脅的損害����,以確保業(yè)務連續(xù)性,業(yè)務風險最小化��,投資回報和商業(yè)機遇最大化���。信息安全是通過實施一組合適的控制措施而達到的�,包括策略�、過程、規(guī)程����、組織結構以及軟件和硬件功能。在需要時需建立���、實施�、監(jiān)視��、評審和改進這些控制措施����,以確保滿足該組織的特定安全和業(yè)務目標。這個過程應與其他業(yè)務管理過程聯(lián)合進行���。
二����、為什么需要信息安全����?信息及其支持過程、系統(tǒng)和網(wǎng)絡都是重要的業(yè)務資產(chǎn)�����。定義�、實現(xiàn)、保持和改進信息安全對保持競爭優(yōu)勢����、現(xiàn)金周轉、贏利�、守法和商業(yè)形象可能是至關重要的。各組織及其信息系統(tǒng)和網(wǎng)絡面臨來自各個方面的安全威脅�,包括計算機輔助欺詐、間諜活動���、惡意破壞����、毀壞行為、火災或洪水�����。諸如惡意代碼����、計算機黑客搗亂和拒絕服務攻擊等導致破壞的安全威脅,已經(jīng)變得更加普遍��、更有野心和日益復雜����。信息安全對于公共和專用兩部分的業(yè)務以及保護關鍵基礎設施是非常重要的。在這兩部分中信息安全都將作為一個使動者����,例如實現(xiàn)電子政務或電子商務,避免或減少相關風險�。公共網(wǎng)絡和專用網(wǎng)絡的互連、信息資源的共享都增加了實現(xiàn)訪問控制的難度���。分布式計算的趨勢也削弱了集中的����、專門控制的有效性��。許多信息系統(tǒng)并沒有被設計成是安全的�����。通過技術手段可獲得的安全性是有限的����,應該通過適當?shù)墓芾砗鸵?guī)程給予支持。確定哪些控制措施要實施到位需要仔細規(guī)劃并注意細節(jié)���。信息安全管理至少需要該組織內(nèi)的所有員工參與���,還可能要求利益相關人、供應商��、第三方����、顧客或其他外部團體的參與�。外部組織的顧問�����、專家建議可能也是需要的����。
三、 如何建立安全要求組織識別出其安全要求是非常重要的����,安全要求有三個主要來源:
1、一個來源是在考慮組織整體業(yè)務戰(zhàn)略和目標的情況下����,評估該組織的風險所獲得的。通過風險評估�,識別資產(chǎn)受到的威脅,評價易受威脅利用的脆弱性和威脅發(fā)生的可能性�,估計潛在的影響。
2�����、另一個來源是組織�����、貿(mào)易伙伴、合同方和服務提供者必須滿足的法律����、法規(guī)、規(guī)章和合同要求����,以及他們的社會文化環(huán)境��。
3�����、第三個來源是組織開發(fā)的支持其運行的信息處理的原則��、目標和業(yè)務要求的特定集合�����。
四��、評估安全風險安全要求是通過對安全風險的系統(tǒng)評估予以識別的��。用于控制措施的支出需要針對可能由安全故障導致的業(yè)務損害加以平衡。風險評估的結果將幫助指導和決定適當?shù)墓芾硇袆?、管理信息安全風險的優(yōu)先級以及實現(xiàn)所選擇的用以防范這些風險的控制措施�。風險評估應定期進行,以應對可能影響風險評估結果的任何變化��。
五�����、選擇控制措施一旦安全要求和風險已被識別并已做出風險處理決定���,則應選擇并實現(xiàn)合適的控制措施�����,以確保風險降低到可接受的級別��?���?刂拼胧┛梢詮摹缎畔踩芾磉m用規(guī)則》或其他控制措施集合中選擇���,或者當合適時設計新的控制措施以滿足特定需求�。安全控制措施的選擇依賴于組織所做出的決定,該決定是基于組織所應用的風險接受準則��、風險處理選項和通用的風險管理方法�,同時還要遵守所有相關的國家和國際法律法規(guī)?��!缎畔踩芾磉m用規(guī)則》中的某些控制措施可被當作信息安全管理的指導原則�,并且可用于大多數(shù)組織����。
六�����、信息安全起點����,許多控制措施被認為是實現(xiàn)信息安全的良好起點。它們或者是基于重要的法律要求�����,或者被認為是信息安全的常用慣例。
