ISO17799-27001標(biāo)準(zhǔn)簡(jiǎn)介.doc_第1頁(yè)
ISO17799-27001標(biāo)準(zhǔn)簡(jiǎn)介.doc_第2頁(yè)
ISO17799-27001標(biāo)準(zhǔn)簡(jiǎn)介.doc_第3頁(yè)
ISO17799-27001標(biāo)準(zhǔn)簡(jiǎn)介.doc_第4頁(yè)
ISO17799-27001標(biāo)準(zhǔn)簡(jiǎn)介.doc_第5頁(yè)
已閱讀5頁(yè),還剩4頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

第一講 ISO 17799/27001 標(biāo)準(zhǔn)簡(jiǎn)介ISO 17799 /27001標(biāo)準(zhǔn)簡(jiǎn)介一、信息安全管理概況近年來(lái),信息安全被破壞的現(xiàn)象非常普遍。政府及國(guó)家的機(jī)密網(wǎng)絡(luò)被黑客輕而易舉地進(jìn)入,公司的機(jī)密信息出現(xiàn)在報(bào)紙上或被人在垃圾桶中發(fā)現(xiàn),財(cái)務(wù)信息被公布在網(wǎng)站上讓所有人瀏覽,銀行的資產(chǎn)通過(guò)網(wǎng)絡(luò)系統(tǒng)流向黑客貪婪的錢袋象這樣的例子不勝枚舉,同時(shí)每一天我們都能得到來(lái)自世界的有關(guān)信息安全被破壞的報(bào)告。在信息及其處理設(shè)備高度發(fā)達(dá)的今天,所有的組織,無(wú)論其性質(zhì)、大小、國(guó)營(yíng)或私營(yíng),都依賴于信息而存在。 這些信息有的以紙面文件存在,有的用計(jì)算機(jī)軟硬盤存儲(chǔ),甚至存貯在員工或工作人員的頭腦里。不管您的組織是怎樣的性質(zhì),您的組織一定會(huì)有別的組織非常感性趣的信息。這些信息可能是您的價(jià)格表,客戶信息,調(diào)研信息,市場(chǎng)計(jì)劃或商務(wù)戰(zhàn)略,您可以試想一下您可以離開(kāi)這些信息多長(zhǎng)時(shí)間?如果您在談判中的位置,標(biāo)書底價(jià),產(chǎn)品研究和發(fā)展計(jì)劃或個(gè)人信息落入別有用心的人的手中,將對(duì)您的組織產(chǎn)生什么樣的影響?有的組織直到為時(shí)已晚的時(shí)候才認(rèn)識(shí)到信息安全被破壞造成的影響。您的組織也許看似安全,但信息可以從不同的渠道泄露。世界經(jīng)濟(jì)已意識(shí)到信息的力量、價(jià)值及保護(hù)信息的重要性。信息安全被破壞的報(bào)告正在與日俱增,這就是為什么ISO17799對(duì)于保護(hù)您的信息是如此重要。該標(biāo)準(zhǔn)提供了一個(gè)完整的切入、實(shí)施、維護(hù)和文件化組織內(nèi)部的信息安全的框架。二、什么是ISO 17799/ 27001信息安全管理標(biāo)準(zhǔn)?ISO17799信息安全管理標(biāo)準(zhǔn)要求建立一個(gè)完整的信息安全管理體系。該管理體系在組織中建立一個(gè)完整的切入、實(shí)施、維護(hù)和文件化的管理框架。該管理標(biāo)準(zhǔn)提供給組織信息安全管理的最佳實(shí)踐指導(dǎo)。ISO/IEC 17799(BS 7799)是組織一個(gè)關(guān)鍵的管理工具,它可以用來(lái)識(shí)別管理和減小對(duì)組織信息安全的威脅。企業(yè)的信息如產(chǎn)品定價(jià)、客戶信息、研究成果、市場(chǎng)開(kāi)發(fā)計(jì)劃或發(fā)展戰(zhàn)略等是企業(yè)賴以生存的寶貴財(cái)富。當(dāng)一個(gè)組織與另一個(gè)組織合作的時(shí)候,對(duì)信息的保護(hù)尤為重要。當(dāng)您的組織要把保密的信息與另一組織分享的時(shí)候,您應(yīng)當(dāng)肯定對(duì)方是否能夠保證該信息的安全,同樣的您也應(yīng)該保證對(duì)方的敏感信息的安全。ISO17799是從BS7799轉(zhuǎn)換來(lái)的,目前ISO17799的最新版本是ISO17799:2005,它包含了133個(gè)安全控制措施來(lái)幫助組織識(shí)別在運(yùn)做過(guò)程中對(duì)信息安全有影響的元素。這133多個(gè)控制措施被分成11個(gè)方面,成為組織實(shí)施信息安全管理的實(shí)用指南,這十一個(gè)方面分別是:一、安全方針(Security Policy)二、信息安全組織(Security Organization)三、資產(chǎn)管理(Asset Management )四、人員安全(Personnel Security)五、物理與環(huán)境安全(Physical and Environmental Security)六、通信與運(yùn)營(yíng)管理(Communications and Operations Management)七、訪問(wèn)控制(Access Control)八、系統(tǒng)開(kāi)發(fā)與維護(hù)(Systems Development and Maintenance)九、信息安全事故管理(Infomation Incident Management)十、業(yè)務(wù)持續(xù)性管理(Business Continuity Management)十一、法律符合性(Compliance)ISO27001:2005是根據(jù)ISO17799:2005制定的一個(gè)ISMS體系實(shí)施規(guī)范,并可使用該規(guī)范對(duì)組織的信息安全管理體系進(jìn)行審核與認(rèn)證。通過(guò)使用該規(guī)范能使組織建立信息安全管理體系,包括以下幾個(gè)步驟:定義信息安全方針 = 信息安全方針文檔定義ISMS范圍 = ISMS范圍文檔資產(chǎn)識(shí)別 = 資產(chǎn)清單風(fēng)險(xiǎn)評(píng)估 = 風(fēng)險(xiǎn)評(píng)估文檔選擇控制目標(biāo)和控制措施 = 控制規(guī)劃體系運(yùn)行 = 運(yùn)行計(jì)劃和運(yùn)行記錄體系審核 = 審核計(jì)劃與審核記錄管理評(píng)審 = 評(píng)審計(jì)劃與評(píng)審記錄體系認(rèn)證 = 認(rèn)證申請(qǐng)及認(rèn)證證書根據(jù)ISO17799確定的內(nèi)容,通過(guò)ISO 27001來(lái)實(shí)施和認(rèn)證ISMS,并不就一定能保證組織能完全擺脫信息安全遭破壞,但實(shí)施該標(biāo)準(zhǔn)使信息安全被破壞的可能性降低,因此降低投資和信息安全事故發(fā)生后的被破壞的程度。三、建立ISMS體系對(duì)組織有什么好處?保證信息安全不是僅有一個(gè)防火墻,或找一個(gè)24小時(shí)提供信息安全服務(wù)的公司就可以達(dá)到的。它需要全面的綜合管理。而引入信息安全管理體系就可以協(xié)調(diào)各個(gè)方面信息管理,從而使管理更為有效。信息安全管理體系標(biāo)準(zhǔn)(ISO27001)可有效保護(hù)信息資源,保護(hù)信息化進(jìn)程健康、有序、可持續(xù)發(fā)展。ISO27001是信息安全領(lǐng)域的管理體系標(biāo)準(zhǔn),類似于質(zhì)量管理體系認(rèn)證的 ISO9000標(biāo)準(zhǔn)。當(dāng)您的組織通過(guò)了ISO27001的認(rèn)證,就相當(dāng)于通過(guò)ISO9000的質(zhì)量認(rèn)證一般,表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障。通過(guò)進(jìn)行ISO27001信息安全管理體系認(rèn)證,可以增進(jìn)組織間電子電子商務(wù)往來(lái)的信用度,能夠建立起網(wǎng)站和貿(mào)易伙伴之間的互相信任,隨著組織間的電子交流的增加通過(guò)信息安全管理的記錄可以看到信息安全管理明顯的利益,并為廣大用戶和服務(wù)提供商提供一個(gè)基礎(chǔ)的設(shè)備管理。同時(shí),把組織的干擾因素降到最小,創(chuàng)造更大收益。組織按照ISO27001標(biāo)準(zhǔn)建立信息安全管理體系,會(huì)有一定的投入,但是若能通過(guò)認(rèn)證機(jī)關(guān)的審核,獲得認(rèn)證,將會(huì)獲得有價(jià)值的回報(bào)。引入ISO27001標(biāo)準(zhǔn)會(huì)給組織帶來(lái)以下好處:? 企業(yè)通過(guò)認(rèn)證將可以向其客戶、競(jìng)爭(zhēng)對(duì)手、供應(yīng)商、員工和投資方展示其在同行內(nèi)的領(lǐng)導(dǎo)地位。定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改善,并以此作為增強(qiáng)信息安全性的依據(jù)。信任、信用及信心:使客戶及利益相關(guān)方感受到組織對(duì)信息安全的承諾。60%的組織在過(guò)去的兩年內(nèi)信息及信息系統(tǒng)遭到過(guò)破壞,建立信息安全管理體系能降低這種風(fēng)險(xiǎn),通過(guò)第三方的認(rèn)證能增強(qiáng)投資者及其他利益相關(guān)方的投資信心。通過(guò)認(rèn)證能夠向政府及行業(yè)主管部門證明組織對(duì)相關(guān)法律法規(guī)的符合性。通過(guò)認(rèn)證能保證和證明組織所有的部門對(duì)信息安全的承諾。通過(guò)認(rèn)證可改善全體的業(yè)績(jī)、消除不信任感和拓展業(yè)務(wù)。獲得國(guó)際認(rèn)可的機(jī)構(gòu)的認(rèn)證證書,可得到國(guó)際上的承認(rèn)。四、組織實(shí)施ISO27001的程序與模式ISO27001中詳細(xì)介紹了實(shí)施信息安全管理的方法和程序,用戶可以參照這個(gè)完整的標(biāo)準(zhǔn)制定出自己的安全管理計(jì)劃和實(shí)施步驟。ISO27001可以作為大型、中型及小型組織的確定在大多數(shù)情況下所需的控制范圍的參考基準(zhǔn)。修訂后的ISO27001充分考慮了信息處理技術(shù)尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展,同時(shí)還強(qiáng)調(diào)了與業(yè)務(wù)相關(guān)的信息安全及信息安全的責(zé)任,擴(kuò)展了新的控制。例如新版本包括關(guān)于電子商務(wù)、遠(yuǎn)程工作和外購(gòu)等領(lǐng)域的控制。組織引入信息安全管理標(biāo)準(zhǔn)的關(guān)鍵在于組織的重視程度和制度落實(shí)情況。組織在實(shí)施過(guò)程中一定要注意,ISO27001里描述的所有控制方式不可能適合組織中每一種情況和組織中的每個(gè)潛在用戶。因此,需要根據(jù)功能要求和組織本身的實(shí)際情況進(jìn)一步開(kāi)發(fā)適合組織自身需要的控制目標(biāo)與控制措施,就像依據(jù)ISO9000標(biāo)準(zhǔn)開(kāi)發(fā)質(zhì)量手冊(cè)和程序文件一樣。信息安全管理體系可以定義為整個(gè)組織或組織的一部分,包括處理、存貯和傳輸數(shù)據(jù)所用到的相應(yīng)的資產(chǎn)、系統(tǒng)、應(yīng)用程序、服務(wù)、網(wǎng)絡(luò)和技術(shù)等。信息安全管理體系是整個(gè)管理體系的一部分,建立在業(yè)務(wù)風(fēng)險(xiǎn)的方法上,以開(kāi)發(fā)、實(shí)施、完成、評(píng)審和維護(hù)信息安全。在ISO27001中信息安全管理體系可能包括:組織的整個(gè)信息系統(tǒng);信息系統(tǒng)的某些部分;一個(gè)特定的信息系統(tǒng);ISMS選擇上面哪一種范圍模式取決于組織的實(shí)際需要,一個(gè)組織可能需要為其企業(yè)的不同部分、不同方面定義不同的ISMS。例如可以為公司與貿(mào)易伙伴的特定的貿(mào)易關(guān)系定義一個(gè)信息安全管理系統(tǒng)。ISO/IEC17799強(qiáng)調(diào)管理體系的有效性、經(jīng)濟(jì)性、全面性、普遍性和開(kāi)放性,目的是為希望達(dá)到一定管理效果的組織提供一種高質(zhì)量、高實(shí)用性的參照。各單位以此為參照建立自己的信息安全管理體系,可以在別人經(jīng)驗(yàn)的基礎(chǔ)上根據(jù)自己的實(shí)際情況選擇自己引入ISO27001的模式,以達(dá)到對(duì)信息進(jìn)行良好管理的目的。組織在實(shí)施ISO27001時(shí),可以根據(jù)組織的需求和實(shí)際情況,采用以下幾種模式:組織按照ISO27001標(biāo)準(zhǔn)的要求,自我實(shí)施建立組織的安全管理體

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論