中山南朗镇-------信息安全管理体系标准发展:
信息安全管理体系标准的出现zui早可以追溯到1993年,受英国贸工部的委托,开始汇集各企
业有关信息安全管理的zui佳实践,准备推出信息安全管理的指南,该指南于1995年以BS7799-l的
编号出版,虽然是英国标准,但出版后得到了各国的认可,并得到了广泛的应用,这包括英国本土
,也包括亚洲国家和地区。
1998年,在指南应用了一段时间之后,BSI又适时发布了作为规范的BS7799-2,它作为一个可以认
证的标准,为实践单位提供了纲领,从此BS7799成为一对标准。
2000年,BS7799被提交ISO审议,拟升级为国际标准,由于种种因素,BS7799-1升级成为ISO17799
:2000,而BS7799-2没有升级成功,保留了原有的编号。
从2000年到2005年的期间,信息安全管理体系标准已经被全球认可,全球将近2000家组织获得了
BS7799-2的认证,在中国有将近20家单位获得了此认证。
2005年10月,BS7799-2成功升级为IS02700l标准,并且,以后信息安全管理体系标准,将要统一到
ISO2700X系列上,除了现有的管理体系要求和管理指南之外,还将陆续出版其他指南,见下表:
27000Vocabularyanddefinitions术语和定义
27001ISMSRequirement(BS7799-2)信息安全管理体系要求
27002ISMSImplementationGuidance信息安全管理体系实施指南
27003ISMSImplementationGuidance信息安全管理体系实施指南
27004ISMMetricsandMeasurement信息安全管理的测量
27005RiskManagement(BS7799-3)风险管理
中山南朗镇-------什么是信息安全ISO27001:
信息安全: 是指信息的保密性、完整性和可用性的保持。
保密性:为保障信息仅仅为那些被授权使用的人获取。
信息的保密性是针对信息被允许访问对象的多少而不同,所有人员都可以访问的信息为公开信
息,需要限制访问的信息一般为敏感信息或秘密,秘密可以根据信xin息的重要性及保密要求分为
不同的密级,例如国家根据秘密泄露对国家经济、安全利益产生的影响(后果)不同,将国家秘密
分为秘密、机密和绝密三个等级,组织可根据其信息安全的实际,在符合《国家保密法》的前提下
将其信息划分为不同的密级;对于具体的信息的保密性有时效性,如秘密到期解密等。
完整性:为保护信息及其处理方法的准确性和完整性。
信息完整性一方面是指信息在利用、传输、贮存等过程中不被篡改、丢失、缺损等,另一方面
是指信息处理的方法的正确性。不正当的操作,如误删除文件,有可能造成重要文件的丢失。
中山南朗镇------为何需要iso27001体系认证和ISO27001认证流程:
今天,我们已经身处信息时代,在这个时代,“计算机和网络”已经成为组织重要的生产工具,“
信息”成为主要的生产资料和产品,组织的业务越来越依赖计算机、网络和信息,它们共同成为组
织赖以生存的重要信息资产。可是,计算机、网络和信息等信息资产在服务于组织业务的同时,也
受到越来越多的安全威胁。bing毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失
以及利用计算机网络实施的各种犯罪行为,人们已不再陌生,并且这样的事件好像经常在我们身边发生。
这几个案例仅仅是冰山一角,打开电视、翻翻报纸、浏览一下互联网,类似这样的事件几乎每
天都在发生。从这些案例可以看出,信息资产一旦遭到破坏,将给组织带来直接的经济损失、损害
组织的声誉和公众形象,使组织丧失市场机会和竞争力,更为甚者,会威胁到组织的生存。
长久以来,很多人自觉不自觉地都会陷入技术决定一切的误区当中,尤其是那些出身信息技术
行业的管理者和操作者。zui早的时候,人们把信息安全的希望寄托在加密技术上面,认为一经加
密,什么安全问题都可以解决。随着互连网络的发展,一段时期我们又常听到"防火墙决定一切"的
论调。及至更多安全问题的涌现,入侵检测、PKI、VPN 等新的技术应用被接二连三地提了出来,
但无论怎么变化,还是离不开技术统领信息安全的路子。可这样的思路能够真正解决安全问题吗也
许可以解决一部分,但却解决不了根本。实际上,对安全技术和产品的选择运用,这只是信息安全
实践活动中的一部分,只是实现安全需求的手段而已。信息安全更广泛的内容,还包括制定完备的
安全策略,通过风险评gu估来确定需求,根据需求选择安全技术和产品,并按照既定的安全策略和
流程规范来实施、维护和审查安全控制措施。归根到底,信息安全并不是技术过程,而是管理过程。