信息安全管理體系認(rèn)證簡(jiǎn)介

1、精品文檔就在這里- 各類專業(yè)好文檔，值得你下載，教育，管理，論文，制度，方案手冊(cè)，應(yīng)有盡有-信息安全管理體系認(rèn)證簡(jiǎn)介一信息安全管理隨著以計(jì)算機(jī)和網(wǎng)絡(luò)通信為代表的信息技術(shù)（ IT ）的迅猛發(fā)展，政府部門、金融機(jī)構(gòu)、企事業(yè)單位和商業(yè)組織對(duì) IT 系統(tǒng)的依賴也日益加重，信息技術(shù)幾乎滲透到了世界各地和社會(huì)生活的方方面面。 如今，遍布全球的互聯(lián)網(wǎng)使得組織機(jī)構(gòu)不僅內(nèi)在依賴 IT 系統(tǒng)，還不可避免地與外部的 IT 系統(tǒng)建立了錯(cuò)綜復(fù)雜的聯(lián)系，但系統(tǒng)癱瘓、黑客入侵、病毒感染、網(wǎng)頁(yè)改寫、客戶資料的流失及公司內(nèi)部資料的泄露等事情時(shí)有發(fā)生， 這些給組織的經(jīng)營(yíng)管理、 生存甚至國(guó)家安全都帶來嚴(yán)重的影響。所以，對(duì)信息加以保

2、護(hù)，防范信息的損壞和泄露，已成為當(dāng)前組織迫切需要解決的問題。俗話說“三分技術(shù)七分管理”。目前組織普遍采用現(xiàn)代通信、計(jì)算機(jī)、網(wǎng)絡(luò)技術(shù)來構(gòu)建組織的信息系統(tǒng)。 但大多數(shù)組織的最高管理層對(duì)信息資產(chǎn)所面臨的威脅的嚴(yán)重性認(rèn)識(shí)不足，缺乏明確的信息安全方針、完整的信息安全管理制度、 相應(yīng)的管理措施不到位，如系統(tǒng)的運(yùn)行、維護(hù)、開發(fā)等崗位不清，職責(zé)不分，存在一人身兼數(shù)職的現(xiàn)象。 這些都是造成信息安全事件的重要原因。 缺乏系統(tǒng)的管理思想也是一個(gè)重要的問題。所以， 我們需要一個(gè)系統(tǒng)的、 整體規(guī)劃的信息安全管理體系，從預(yù)防控制的角度出發(fā)， 保障組織的信息系統(tǒng)與業(yè)務(wù)之安全與正常運(yùn)作。二信息安全管理體系標(biāo)準(zhǔn)發(fā)展歷史及主要內(nèi)

3、容目前，在信息安全管理體系方面，ISO/IEC27001:2005 信息安全管理體系標(biāo)準(zhǔn)已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)。 ISO/IEC27001 是由英國(guó)標(biāo)準(zhǔn) BS7799轉(zhuǎn)換而成的。BS7799標(biāo)準(zhǔn)于 1993 年由英國(guó)貿(mào)易工業(yè)部立項(xiàng)，于 1995 年英國(guó)首次出版 BS 7799-1 ：1995信息安全管理實(shí)施細(xì)則，它提供了一套綜合的、由信息安全最佳慣例組成的實(shí)施規(guī)則， 其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的參考基準(zhǔn)，適用于大、中、小組織。 1998 年英國(guó)公布標(biāo)準(zhǔn)的第二部分-精品文檔-精品文檔就在這里- 各類專業(yè)好文檔，值得你下載，教育，管理，論文，制

4、度，方案手冊(cè)，應(yīng)有盡有-BS 7799-2 信息安全管理體系規(guī)范，它規(guī)定信息安全管理體系要求與信息安全控制要求， 是一個(gè)組織的全面或部分信息安全管理體系評(píng)估的基礎(chǔ)，它可以作為一個(gè)正式認(rèn)證方案的根據(jù)。BS7799-1 與 BS7799-2 經(jīng)過修訂于 1999 年重新予以發(fā)布， 1999 版考慮了信息處理技術(shù)，尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展，同時(shí)還非常強(qiáng)調(diào)了商務(wù)涉及的信息安全及信息安全的責(zé)任。2000 年 12 月，BS7799-1： 1999信息安全管理實(shí)施細(xì)則通過了國(guó)際標(biāo)準(zhǔn)化組織ISO 的認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn) - ISO/IEC17799：2000信息技術(shù) - 信息安全管理實(shí)施細(xì)則，

5、該標(biāo)準(zhǔn)現(xiàn)已升版為ISO/IEC17799：2005。2002 年 9 月 5 日，BS7799-2:2002正式發(fā)布，2002 版標(biāo)準(zhǔn)主要在結(jié)構(gòu)上做了修訂， 引入了 PDCA(Plan-Do-Check-Act)的過程管理模式，建立了與ISO 9001、 ISO 14001 和 OHSAS 18000 等管理體系標(biāo)準(zhǔn)相同的結(jié)構(gòu)和運(yùn)行模式。2005 年， BS 7799-2: 2002正式轉(zhuǎn)換為國(guó)際標(biāo)準(zhǔn)ISO/IEC27001：2005。依據(jù) ISO/IEC27001： 2005 建立信息安全管理體系并獲得認(rèn)證正成為世界潮流。ISO/IEC27001：2005 標(biāo)準(zhǔn)包括 11 大管理要項(xiàng)、 39

6、 個(gè)控制目標(biāo)和 133 項(xiàng)控制措施，為組織提供全方位的信息安全保障。安全方針符合性信息安全組織業(yè)務(wù)持續(xù)性管理完整性保密性資產(chǎn)管理信息資產(chǎn)信息安全事件管理人力資源安全可用性信息系統(tǒng)的獲取物理和環(huán)境安全開發(fā)和維護(hù)訪問控制通信與操作安全安全方針管理層應(yīng)對(duì)信息安全提出明確目標(biāo)，并制定出可操作的安-精品文檔-精品文檔就在這里- 各類專業(yè)好文檔，值得你下載，教育，管理，論文，制度，方案手冊(cè)，應(yīng)有盡有-全管理策略，為信息安全提供管理指導(dǎo)和支持。安全組織在組織內(nèi)建立信息安全組織、管理與第三方有關(guān)、及外包管理安全問題。資產(chǎn)分類與管理對(duì)與信息技術(shù)有關(guān)的資產(chǎn)進(jìn)行分類，加強(qiáng)與信息技術(shù)有關(guān)的資產(chǎn)分類管理，并對(duì)這些資產(chǎn)就

7、價(jià)值和重要性進(jìn)行分類標(biāo)識(shí)，實(shí)施不同安全措施對(duì)這些資產(chǎn)進(jìn)行保護(hù)。人力資源安全明確工作人員在招聘、雇傭、解聘過程中所涉及的信息保密等安全問題，加強(qiáng)對(duì)工作人員信息安全培訓(xùn)與教育，提高工作人員安全防范意識(shí)，減少人為錯(cuò)誤、偷竊、欺詐或?yàn)E用信息及處理設(shè)施的風(fēng)險(xiǎn)。物理和環(huán)境安全分析安全威脅來源，劃分物理安全區(qū)域，加強(qiáng)對(duì)后臺(tái)計(jì)算機(jī)服務(wù)器與用戶桌面計(jì)算機(jī)的保護(hù)，防止因水、火、盜竊、雷電、電力供應(yīng)、化學(xué)腐蝕等因素帶來的安全威脅，并制定計(jì)算機(jī)設(shè)備引進(jìn)、日常運(yùn)行、銷毀處理程序和辦法。通信與操作管理覆蓋應(yīng)用系統(tǒng)日常運(yùn)營(yíng)和維護(hù)程序、 服務(wù)水平管理、網(wǎng)絡(luò)管理、存儲(chǔ)介質(zhì)管理、防惡意軟件攻擊保護(hù)、系統(tǒng)和數(shù)據(jù)備份與恢復(fù)管理、信息

8、交換管理等，確保信息處理設(shè)施正確和安全運(yùn)行。訪問控制定義用戶存取控制策略，管理用戶存取過程，包括對(duì)網(wǎng)絡(luò)存取控制、操作系統(tǒng)、應(yīng)用系統(tǒng)及移動(dòng)設(shè)備和遠(yuǎn)程工作設(shè)備進(jìn)行存取控制。系統(tǒng)的獲取、開發(fā)和維護(hù)明確應(yīng)用系統(tǒng)安全需求，包括輸入數(shù)據(jù)校驗(yàn)、輸出數(shù)據(jù)校驗(yàn)、業(yè)務(wù)處理過程校驗(yàn)、傳輸數(shù)據(jù)認(rèn)證等 ;確定加密控制辦法，包括加密、數(shù)字簽名、不可否認(rèn)服務(wù)、密鑰管理等管控辦法 ;確定系統(tǒng)文件的安全保護(hù)辦法，以及開發(fā)和支持過程的安全管理辦法。確保將安全納入信息系統(tǒng)的整個(gè)生命周期。信息安全事件管理確保安全事件發(fā)生后有正確的處理流程和報(bào)告方式。-精品文檔-精品文檔就在這里- 各類專業(yè)好文檔，值得你下載，教育，管理，論文，制度，

9、方案手冊(cè)，應(yīng)有盡有-業(yè)務(wù)持續(xù)性管理定義業(yè)務(wù)持續(xù)性管理過程，業(yè)務(wù)持續(xù)性和影響過程分析，制定和執(zhí)行切實(shí)可行的業(yè)務(wù)持續(xù)性計(jì)劃，定期測(cè)試、維護(hù)、演練、重新評(píng)估業(yè)務(wù)持續(xù)性計(jì)劃。防止業(yè)務(wù)活動(dòng)的中斷，并保護(hù)關(guān)鍵的業(yè)務(wù)過程免受重大故障或?yàn)?zāi)難的影響。符合性識(shí)別現(xiàn)有適用的法律法規(guī)，保護(hù)個(gè)人信息的隱私 ;使用合法的、正版的系統(tǒng)軟件與應(yīng)用軟件 ;加強(qiáng)計(jì)算機(jī)安全審計(jì)，保障技術(shù)和安全策略的合規(guī)性的合規(guī)性。避免違反任何刑法和民法、法律法規(guī)或合同義務(wù)以及任何安全要求。三信息安全管理體系認(rèn)證BS7799-2 從 1998 年頒布后，在全世界范圍內(nèi)得到廣泛的認(rèn)可。 目前已有 40 多個(gè)國(guó)家和地區(qū)開展信息安全管理體系的認(rèn)證。 根據(jù)

10、信息安全管理體系國(guó)際使用者協(xié)會(huì)（ ISMS International User Group）的最新統(tǒng)計(jì)，到 2005 年底，全球通過信息安全管理體系 BS 7799-2 認(rèn)證的組織已經(jīng)超過 2000 家。信息安全對(duì)每個(gè)企業(yè)或組織來說都是需要的，所以信息安全管理體系認(rèn)證具有普遍的適用性， 不受地域、產(chǎn)業(yè)類別和公司規(guī)模限制。從目前的獲得認(rèn)證的企業(yè)情況看，較多的是涉及電信、保險(xiǎn)、銀行、數(shù)據(jù)處理中心、 IC 制造和軟件外包等行業(yè)。對(duì)組織來說，符合 ISO27001/BS7799 標(biāo)準(zhǔn)并且獲得信息安全管理體系認(rèn)證證書，雖然不能證明組織達(dá)到了 100的安全，但通過信息安全管理體系的認(rèn)證能夠強(qiáng)有力保障組織

11、的信息資產(chǎn)的保密性、完整性和可用性，并能帶來如下好處：加強(qiáng)公司信息資產(chǎn)的安全性、保障業(yè)務(wù)持續(xù)性與緊急恢復(fù)強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為減少可能潛在的風(fēng)險(xiǎn)隱患，減少信息系統(tǒng)故障、人員流失帶來的經(jīng)濟(jì)損失維護(hù)企業(yè)的聲譽(yù)、品牌和客戶信任，維持競(jìng)爭(zhēng)優(yōu)勢(shì)滿足客戶和法律法規(guī)要求2010 年讀書節(jié)活動(dòng)方案-精品文檔-精品文檔就在這里- 各類專業(yè)好文檔，值得你下載，教育，管理，論文，制度，方案手冊(cè)，應(yīng)有盡有-一、活動(dòng)目的：書是人類的朋友，書是人類進(jìn)步的階梯！為了拓寬學(xué)生的知識(shí)面，通過開展“和書交朋友，遨游知識(shí)大海洋”系列讀書活動(dòng)，激發(fā)學(xué)生讀書的興趣，讓每一個(gè)學(xué)生都想讀書、愛讀書、會(huì)讀書，從小養(yǎng)成熱

12、愛書籍，博覽群書的好習(xí)慣，并在讀書實(shí)踐活動(dòng)中陶冶情操，獲取真知，樹立理想！二、活動(dòng)目標(biāo)：、通過活動(dòng)，建立起以學(xué)校班級(jí)、個(gè)人為主的班級(jí)圖書角和個(gè)人小書庫(kù)。、通過活動(dòng)，在校園內(nèi)形成熱愛讀書的良好風(fēng)氣。3、通過活動(dòng)，使學(xué)生養(yǎng)成博覽群書的好習(xí)慣。、通過活動(dòng)，促進(jìn)學(xué)生知識(shí)更新、思維活躍、綜合實(shí)踐能力的提高。三、活動(dòng)實(shí)施的計(jì)劃、 做好讀書登記簿1） 每個(gè)學(xué)生結(jié)合實(shí)際，準(zhǔn)備一本讀書登記簿，具體格式可讓學(xué)生根據(jù)自己喜好來設(shè)計(jì)、裝飾，使其生動(dòng)活潑、各具特色，其中要有讀書的內(nèi)容、容量、實(shí)現(xiàn)時(shí)間、好詞佳句集錦、心得體會(huì)等欄目，高年級(jí)可適當(dāng)作讀書筆記。2） 每個(gè)班級(jí)結(jié)合學(xué)生的計(jì)劃和班級(jí)實(shí)際情況，也制定出相應(yīng)的班級(jí)讀書目標(biāo)和讀書成長(zhǎng)規(guī)劃書，其中要有措施、有保障、有