信息安全體系介紹教學文案

信息安全管理體系介紹(jièshào)第一頁，共15頁。主題

一、信息安全管理體系簡介二、信息安全管理體系現(xiàn)狀(xiànzhuàng)三、政府關注信息安全管理體系認證第二頁，共15頁。信息安全管理體系信息安全是一個廣泛而抽象的概念，不同領域不同方面對其概念的闡述都會有所不同。建立在網(wǎng)絡基礎之上的現(xiàn)代信息系統(tǒng)，其安全定義較為明確，那就是：保護信息系統(tǒng)的硬件、軟件及相關數(shù)據(jù)，使之不因為(yīnwèi)偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運行。在商業(yè)和經(jīng)濟領域，信息安全主要強調(diào)的是消減并控制風險，保持業(yè)務操作的連續(xù)性，并將風險造成的損失和影響降低到最低程度。

信息作為一種資產(chǎn)，是企業(yè)或組織進行正常商務運作和管理不可或缺的資源。從最高層次來講，信息安全關系到國家的安全；對組織機構來說，信息安全關系到正常運作和持續(xù)發(fā)展；就個人而言，信息安全是保護個人隱私和財產(chǎn)的必然要求。無論是個人、組織還是國家，保持關鍵的信息資產(chǎn)的安全性都是非常重要的。信息安全的任務，就是要采取措施（技術手段及有效管理）讓這些信息資產(chǎn)免遭威脅，或者將威脅帶來的后果降到最低程度，以此維護組織的正常運作。據(jù)美國FBI統(tǒng)計，美國每年因網(wǎng)絡安全問題所造成的經(jīng)濟損失高達100多億美元，還有日益增加的趨勢，那么，信息安全問題主要是由哪方面的原因引起呢？據(jù)有關部門統(tǒng)計，在所有的計算機安全事件中，約有52%是人為因素造成的，25%由火災、水災等自然災害引起，技術錯誤占10%，組織內(nèi)部人員作案占10%，僅有3%左右是由外部不法人員的攻擊造成。簡單歸類，屬于管理方面的原因比重高達70%以上，也就是說，真正的信息安全是需要系統(tǒng)的管理來保證的第三頁，共15頁。信息安全應具備以下幾個方面的特征：a）保密性-確保信息僅允許授權(shòuquán)人員訪問。

b）完整性-信息及其處理方法的準確和全面。

c）可用性-確保在需要時，授權(shòuquán)用戶能訪問到信息、接觸到相關資產(chǎn)。第四頁，共15頁。對信息安全而言，應主要考慮以下幾種信息類型的安全a）內(nèi)部信息–組織不對外公開的信息。

b）客戶信息–客戶不想讓組織泄露的信息。

c）共享信息–組織需要與其他(qítā)貿(mào)易合作伙伴分享的信息。第五頁，共15頁。信息安全管理體系發(fā)展(fāzhǎn)歷程：

1995年英國(yīnɡɡuó)標準協(xié)會頒布了指南性標準BS7799-1:1995《信息安全管理實施細則》1999年，BS7799-1:1995修訂后再次(zàicì)由英國標準協(xié)會頒布，BS7799-2信息安全管理體系規(guī)范也在同年頒布。2000年12月1日，BS7799第一部分成為ISO17799國際標準，該標準2005年經(jīng)過最新改版，發(fā)展成為ISO/IEC17799:2005標準。第六頁，共15頁。信息安全管理體系認證(rènzhèng)認證(Certification)是第三方依據(jù)程序?qū)Ξa(chǎn)品、過程、服務符合規(guī)定的要求給予書面保證（合格證書），認證的基礎是標準，認證的方法包括對產(chǎn)品的特性的抽樣檢驗和對組織體系的審核與評定，認證的證明方式是認證證書與認證標志。認證是第三方所從事的活動，通過認證活動，組織可以對外提供某種信任與保證，如產(chǎn)品質(zhì)量保證、信息安全保證等。目前，世界上普遍采用的信息安全管理體系的認證標準是英國標準協(xié)會的信息安全管理委員會指導(zhǐdǎo)下制定的ISO/IEC27001：2005信息安全管理體系規(guī)范》。組織實施信息安全管理體系認證，就是根據(jù)BS7799標準，建立完整的信息安全管理體系，達到動態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預防為主的信息安全管理方式，用最低的成本，達到可接受的信息安全水平，從根本上保證業(yè)務的持續(xù)性。

第七頁，共15頁。認證(rènzhèng)的目的和作用

信息安全管理第三方認證為組織的信息安全體系提供客觀公正的評價，使組織在信息安全管理方面有更大的可信性，并且能夠使用證書向利益相關的組織提供保證；同時，認證能夠促進組織間的貿(mào)易關系，提高跨行業(yè)的信息安全管理水平，從整體上有利于各國的全球貿(mào)易的開展。信息安全管理體系可以保證組織提供可靠的信息安全服務，對該體系進行認證可以樹立組織信息安全形象，為客戶、合作者提供信息安全信任感，有利于組織業(yè)務活動的開展，特別是當信息安全構成組織所提供產(chǎn)品或服務的一個質(zhì)量特性時，如金融、電信等服務組織，開展ISO27001體系認證對外具有很強的質(zhì)量保證作用。在我國加入ＷＴＯ以后，無論在中國還是在國外，都是全球一體化的競爭。并且，這個時代的顯著特征是風險(fēngxiǎn)的頻率和規(guī)模越來越大。在信息時代，所有的企業(yè)，不論其規(guī)模、結構、性質(zhì)或產(chǎn)業(yè)是什么，提供給用戶的各類服務，其前提條件一定要是安全的服務。因此，信息安全和風險(fēngxiǎn)管理都將是必不可少的。ISO27001國際認證不僅僅是衡量組織信息安全管理水平的標準，也已經(jīng)成為組織具有更高規(guī)范管理水平和競爭力的標志。比如，在軟件或集成電路等很多產(chǎn)業(yè)之間的競爭，已經(jīng)發(fā)展成為價值鏈與價值鏈之間的競爭。假如我國企業(yè)沒有通過ISO27001等國際標準認證的管理體系，其管理水平和國際競爭力將大打折扣，從而有可能錯失一些外包訂單或失去與國際大廠商合作的機會。反之，構建基于ISO27001等國際標準的管理體系，將極大地提升中國企業(yè)的國際競爭力水平。第八頁，共15頁。信息安全管理體系現(xiàn)狀(xiànzhuàng)第九頁，共15頁。目前，我國實際發(fā)生的安全事件，很多是由于管理不到位、責任不落實造成的。從國際上講，據(jù)2002年美國FBI統(tǒng)計，83%的信息安全事故是內(nèi)部人員或內(nèi)外勾結所為，而且呈上升的趨勢(qūshì)。防內(nèi)為主，內(nèi)外兼防，需要從提高使用節(jié)點自身的安全著手，構建積極、綜合的防護系統(tǒng)。一般來講，組織的信息安全需求有以下幾個來源：

(1）法律法規(guī)與合同條約(tiáoyuē)的要求

（2）組織自身業(yè)務持續(xù)性發(fā)展(fāzhǎn)的要求（3）客戶的要求第十頁，共15頁。·能全面了解自身的重要信息資產(chǎn)和信息安全現(xiàn)狀，使企業(yè)的信息安全得到有效管理和控制·加強公司信息資產(chǎn)的安全性，保障業(yè)務持續(xù)開展與緊急恢復·強化員工的信息安全意識，規(guī)范組織信息安全行為·減少(jiǎnshǎo)可能潛在的風險隱患，減少(jiǎnshǎo)信息系統(tǒng)故障、人員流失帶來的經(jīng)濟損失；

建立(jiànlì)信息安全管理體系的必要性第十一頁，共15頁。·維護公司的聲譽、品牌和客戶信任，保持競爭優(yōu)勢(yōushì)；·保證公司商業(yè)安全，給投資方帶來企業(yè)持續(xù)發(fā)展的信心；·使組織的生意伙伴和客戶對組織充滿信心·滿足客戶和法律法規(guī)要求。建立(jiànlì)信息安全管理體系的必要性第十二頁，共15頁。信息安全管理體系認證(rènzhèng)情況隨著企業(yè)對信息安全的重視，越來越多企業(yè)在建立信息安全管理(guǎnlǐ)體系的同時也尋求信息安全管理(guǎnlǐ)體系的認證。具信息安全管理(guǎnlǐ)體系國際用戶組織（ISMSIUG）統(tǒng)計，截至2007年10月份，全球已有4000多家企業(yè)通過信息安全管理(guǎnlǐ)體系標準ISO/IEC27001認證。通過認證企業(yè)數(shù)量前5位的國家和地區(qū)的順序是：日本、英國、印度、臺灣和德國。全球通過認證的最多的國家是日本已達2317家，可見日本政府和企業(yè)對信息安全管理(guǎnlǐ)的重視程度。我國目前通過認證的企業(yè)數(shù)量為近100家，通過認證的企業(yè)有如華為、中興等高科技企業(yè)，有如大連華信等軟件和服務外包企業(yè)，也有廣東生益科技股份有限公司，可以說信息安全涉及到各行各業(yè)。第十三頁，共15頁。政府(zhèngfǔ)關注信息安全管理體系認證2002年4月認監(jiān)委在中認大廈召開國家ISMS認證認可高層研討會；2002年11月信安標委WG7開始研究和制定ISMS國家標準；2004年4月認監(jiān)委在其辦公大樓會議室召開ISMS認證認可工作會議；則”，該標準修改采用ISO/IEC17799:2000；2005年6月我國發(fā)布第一個ISMS國家標準“GB/T19716-2005信息安全管理實用規(guī)則”，該標準修改采用ISO/IEC17799:2000；

2006年2月開展(kāizhǎn)ISMS標準應用試點工作：國家稅務總局、證監(jiān)會、北京、