ISO 27001信息安全管理體系認證咨詢的主要任務
信息安全 (Information security): 是指信息的保密性 (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。
• 保密性:為保障信息僅僅為那些被授權使用的人獲取。
信息的保密性是針對信息被允許訪問( Access )對象的多少而不同,所有人員都可以訪問的信息為公開信息,需要限制訪問的信息一般為敏感信息或秘密,秘密可以根據(jù)信息的重要性及保密要求分為不同的密級,例如國家根據(jù)秘密泄露對國家經(jīng)濟、安全利益產(chǎn)生的影響(后果)不同,將國家秘密分為秘密、機密和絕密三個等級,組織可根據(jù)其信息安全的實際,在符合《國家保密法》的前提下將其信息劃分為不同的密級;對于具體的信息的保密性有時效性,如秘密到期解密等。
• 完整性:為保護信息及其處理方法的準確性和完整性。
信息完整性一方面是指信息在利用、傳輸、貯存等過程中不被篡改、丟失、缺損等,另一方面是指信息處理的方法的正確性。不正當?shù)牟僮鳎缯`刪除文件,有可能造成重要文件的丟失。
• 可用性:為保障授權使用人在需要時可以獲取信息和使用相關的資產(chǎn)。
信息的可用性是指信息及相關的信息資產(chǎn)在授權人需要的時候,可以立即獲得。例如通信線路中斷故障會造成信息的在一段時間內(nèi)不可用,影響正常的商業(yè)運作,這是信息可用性的破壞。不同類型的信息及相應資產(chǎn)的信息安全在保密性、完整性及可用性方面關注點不同,如組織的專有技術、市場營銷計劃等商業(yè)秘密對組織來講保守機密尤其重要;而對于工業(yè)自動控制系統(tǒng),控制信息的完整性相對其保密性重要得多。
為什么需要信息安全?
信息、信息處理過程及對信息起支持作用的信息系統(tǒng)和信息網(wǎng)絡都是重要的商務資產(chǎn)。信息的保密性、完整性和可用性對保持競爭優(yōu)勢、資金流動、效益、法律符合性和商業(yè)形象都是至關重要的。然而,越來越多的組織及其信息系統(tǒng)和網(wǎng)絡面臨著包括計算機詐騙、間諜、蓄意破壞、火災、水災等大范圍的安全威脅,諸如計算機病毒、計算機入侵、 Dos 攻擊等手段造成的信息災難已變得更加普遍 , 有計劃而不易被察覺。組織對信息系統(tǒng)和信息服務的依賴意味著更易受到安全威脅的破壞,公共和私人網(wǎng)絡的互連及信息資源的共享增大了實現(xiàn)訪問控制的難度。許多信息系統(tǒng)本身就不是按照安全系統(tǒng)的要求來設計的,所以僅依靠技術手段來實現(xiàn)信息安全有其局限性,所以信息安全的實現(xiàn)必須得到管理和程序控制的適當支持。確定應采取哪些控制方式則需要周密計劃,并注意細節(jié)。信息安全管理至少需要組織中的所有雇員的參與,此外還需要供應商、顧客或股東的參與和信息安全的專家建議。在信息系統(tǒng)設計階段就將安全要求和控制一體化考慮,則成本會更低、效率會更高。
我們針對信息安全風險評估常用的方法有:
一、結構化得風險分析方法
1、 基于威脅樹的風險評估方法
2、 基于表格的風險評估方法
3、 基于威脅矩陳的風險分析法
二、非結構化風險分析法
1、 從員工職務角度進行風險分析
2、 威脅分析法
3、 調(diào)查問卷法
認證咨詢業(yè)務聯(lián)系方式
地址:余姚市陽明西路700號國貿(mào)大廈615室 郵編:315400
電話:0574-22715665 傳真:0574-2209805 |
 |
|
手機站
您當前位置是:商業(yè)機會 >> 商務服務 >> 認證服務 >> 供應ISO27001認證咨詢 余姚信息安全認證卓博咨詢輔導
聯(lián)系信息
