一�����、ISMS實(shí)施背景
1.1 背景簡(jiǎn)介
隨著信息技術(shù)的高速發(fā)展���,特別是Internet的問世及網(wǎng)上交易的啟用����,許多信息安全的問題也紛紛出現(xiàn):系統(tǒng)癱瘓、黑客入侵���、病毒感染�����、網(wǎng)絡(luò)釣魚�、網(wǎng)頁(yè)改寫�����、客戶資料的流失及公司內(nèi)部資料的泄露等等����。ISO/IEC27001:2013正為我們建立這樣一個(gè)管理體系提供有力的幫助�����,它可以幫助組織識(shí)別�����、管理和減少信息所面臨的各種風(fēng)險(xiǎn)�,保障組織的信息安全�����。
1.2 為什么要實(shí)施基于ISO27001標(biāo)準(zhǔn)的IT服務(wù)管理
隨著在世界范圍內(nèi)����,信息化水平的不斷發(fā)展����,信息安全逐漸成為人們關(guān)注的焦點(diǎn),世界范圍內(nèi)的各個(gè)機(jī)構(gòu)���、組織���、個(gè)人都在探尋如何保障信息安全的問題。英國(guó)�����、美國(guó)��、挪威�����、瑞典、芬蘭�����、澳大利亞等國(guó)均制定了有關(guān)信息安全的本國(guó)標(biāo)準(zhǔn)��,國(guó)際標(biāo)準(zhǔn)化組織(ISO)也發(fā)布了ISO17799���、ISO13335��、ISO15408等與信息安全相關(guān)的國(guó)際標(biāo)準(zhǔn)及技術(shù)報(bào)告���。目前�,在信息安全管理方面,英國(guó)標(biāo)準(zhǔn)ISO27001:2005已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)�,它是在BSI/DISC的BDD/2信息安全管理委員會(huì)指導(dǎo)下制定完成,最新版本為:ISO27001:2013�。
一、信息安全的基本知識(shí)
信息安全:
是采取措施保護(hù)信息資產(chǎn)����,使之不得因偶然或惡意侵犯而遭到破壞、更改����、泄露����,保證信息系統(tǒng)能夠連續(xù)�����、可靠��、正常的運(yùn)行�,使安全事件對(duì)業(yè)務(wù)造成的影響減到最小,確保組織業(yè)務(wù)運(yùn)行的連續(xù)性����。
什么是信息:
對(duì)公司具有重要價(jià)值,可以通過多媒體傳遞和存儲(chǔ)的一種資產(chǎn)��。
哪些是信息:
傳輸網(wǎng)絡(luò)的組網(wǎng)圖�;招投標(biāo)的目標(biāo)區(qū)域和標(biāo)底;
電子郵件的內(nèi)容�����;基站的經(jīng)緯度和位置;
設(shè)備的配置容量�、板位圖等內(nèi)容;
公司員工的通訊錄(電話��、身份證號(hào)碼�、認(rèn)證產(chǎn)品);
節(jié)假日的放假通知����。
二、信息安全的核心
信息安全的核心就是數(shù)據(jù):要保障沒有被破壞過的����、原始的數(shù)據(jù)能夠及時(shí)地、安全地在它的合法擁有者和使用者之間傳遞或存儲(chǔ)�,而不能被不該獲得它們的人得到或更改。信息安全的工作就是要保障這些數(shù)據(jù)不被合法擁有和使用者以外的人竊取���、篡改或破壞,同時(shí)保障這些數(shù)據(jù)不會(huì)由于操作失誤�����、機(jī)器故障�����、天災(zāi)人禍等被破壞。
三����、信息安全管理體系標(biāo)準(zhǔn)(ISO27001)
信息安全管理體系標(biāo)準(zhǔn)(ISO27001):可有效保護(hù)信息資源,保護(hù)信息化進(jìn)程健康��、有序�、可持續(xù)發(fā)展。ISO27001是信息安全領(lǐng)域的管理體系標(biāo)準(zhǔn)���,類似于質(zhì)量管理體系認(rèn)證的 ISO9000標(biāo)準(zhǔn)��。當(dāng)公司通過了ISO27001的認(rèn)證�����,就相當(dāng)于通過ISO9000的質(zhì)量認(rèn)證一般��,表示公司信息安全管理已建立了一套科學(xué)有效的管理體系作為保障���。
根據(jù) ISO27001 對(duì)信息安全管理體系進(jìn)行認(rèn)證,可以帶來以下幾個(gè)好處:
▲ 引入信息安全管理體系�����,可以協(xié)調(diào)各個(gè)方面信息的管理,從而使管理更為有效��,保證信息安全不是僅有一個(gè)防火墻���,它需要全面的綜合管理��。
▲ 通過進(jìn)行ISO27001信息安全管理體系認(rèn)證���,可以增進(jìn)公司間電子商務(wù)往來的信用度,能夠建立起和客戶之間的互相信任���。
▲ 通過認(rèn)證能保證和證明公司所有的部門對(duì)信息安全的承諾��。
▲ 通過認(rèn)證可消除不信任感�����。
四��、信息安全相關(guān)資產(chǎn)的概念
資產(chǎn)是指對(duì)組織有價(jià)值且與信息相關(guān)的資產(chǎn)
信息資產(chǎn):通常包括各種電子或?qū)嵨镄问酱嬖诘臄?shù)據(jù)�����、文檔��、文件等�����、知識(shí)產(chǎn)權(quán)��、商標(biāo)等無形資產(chǎn)�����。為了確保公司信息資產(chǎn)的安全性����,公司信息類資產(chǎn)密級(jí)劃分為:公開信息�����、受控信息�����、企業(yè)秘密三級(jí)����,使用過程中依據(jù)不同的密級(jí)進(jìn)行相應(yīng)的審批及使用�。
軟件資產(chǎn):各種系統(tǒng)軟件�����、應(yīng)用軟件�、工具軟件、開發(fā)軟件等�����,這些軟件資產(chǎn)對(duì)各類信息進(jìn)行處理����、存儲(chǔ)或傳輸。
硬件資產(chǎn):與業(yè)務(wù)相關(guān)的IT物理設(shè)備����。如產(chǎn)生數(shù)據(jù)類的服務(wù)器、筆記本電腦�����、PC機(jī)����、打印機(jī)、復(fù)印機(jī)等�、通訊傳輸設(shè)備(路由器、防火墻等)��、記錄存儲(chǔ)媒體(U盤���、光盤��、移動(dòng)硬盤等)及輔助設(shè)備���。
人員資產(chǎn):承擔(dān)某項(xiàng)與業(yè)務(wù)活動(dòng)相關(guān)責(zé)任的角色和職位。
五�����、信息安全的三要素(CIA)
信息的機(jī)密性(C):具有一定保密程度的信息只能讓有權(quán)讀到或更改的人讀到和更改���。不過���,這里提到的保密信息,有比較廣泛的外延:它可以是國(guó)家機(jī)密����,是一個(gè)企業(yè)或研究機(jī)構(gòu)的核心知識(shí)產(chǎn)權(quán)��,是一個(gè)銀行個(gè)人賬號(hào)的用戶信息�����,或簡(jiǎn)單到你建立微信���、QQ時(shí)輸入的個(gè)人信息。因此��,信息保密的問題是每一個(gè)使用網(wǎng)絡(luò)的人都要面對(duì)的�����。
信息的完整性(I):是指在存儲(chǔ)或傳輸信息的過程中����,原始的信息不能允許被隨意更改。這種更改有可能是無意的錯(cuò)誤�����,如輸入錯(cuò)誤,軟件瑕疵�,到有意的人為更改和破壞。在設(shè)計(jì)數(shù)據(jù)庫(kù)以及其他信息存儲(chǔ)和傳輸應(yīng)用軟件時(shí)����,要考慮對(duì)信息完整性的校驗(yàn)和保障。
信息的可用性(A):對(duì)于信息的合法擁有和使用者����,在他們需要這些信息的任何時(shí)候����,都應(yīng)該保障他們能夠及時(shí)得到所需要的信息。
六����、 信息安全的防護(hù)重點(diǎn)
信息安全威脅分類
針對(duì)威脅來源,根據(jù)其表現(xiàn)形式將威脅分為:
軟硬件故障�、物理環(huán)境影響、無作為或操作失誤����、管理不到位、惡意代碼和病毒�、越權(quán)或?yàn)E用、網(wǎng)絡(luò)攻擊��、泄密、篡改����、抵賴。
五大防護(hù)重點(diǎn)
信息防泄漏���;內(nèi)容防篡改���;內(nèi)部防越權(quán);系統(tǒng)防入侵���;網(wǎng)絡(luò)防攻擊�����。
客服咨詢
158-0008-7775 
