一、ISMS基本介紹
1、什么是ISMS
信息安全管理體系(Information Security Management System,簡稱ISMS)起源于英國標準協(xié)會(British Standards Institution, BSI) 1990年代制定的英國國家標準BS7799,是系統(tǒng)化管理思想在信息安全領域的應用。
信息安全管理體系是組織整體管理體系的一個部分,是組織在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。基于對業(yè)務風險的認識,ISMS 包括建立、實施、操作、監(jiān)視、復查、維護和改進信息安全等一系列的管理活動,并且表現(xiàn)為組織結構、策略方針、計劃活動、目標與原則、人員與責任、過程與方法、資源等諸多要素的集合。
2、為什么需要ISMS
我們已經身處信息時代,計算機和網絡已經成為各類組織不可或缺的工具,信息成為組織賴以生存的重要資產,價值與日俱增,與此同時也面臨各種各樣、越來越多的安全威脅。病毒破壞、黑客攻擊、網絡欺詐、重要信息資料丟失、信息系統(tǒng)癱瘓以及利用計算機網絡實施的各種犯罪行為層出不窮、防不勝防。信息資產一旦遭到破壞,將給組織帶來直接的經濟損失,并導致組織的聲譽和公眾形象受到損害,使組織喪失市場機會和競爭力,甚至威脅組織的生存。因此,組織必須解決信息安全問題,有效保護信息資產。
常用的信息安全保障手段往往從信息安全產品入手,如防火墻、防病毒、入侵檢測、漏洞掃描、加密認證、內網管理、流量管理等等,用戶通過這些產品的安裝部署,實現(xiàn)相應的安全功能。這些項目以產品為導向,以解決局部信息安全問題為主要目標。
信息安全管理體系方法從組織的信息安全要求出發(fā),以確定和實現(xiàn)組織信息安全目標為宗旨,通過“PDCA”循環(huán)的過程方法,建立持續(xù)改進、自我完善的信息安全工作機制。使組織采用適宜的控制措施,有效控制信息安全風險,適度保護信息資產安全,從而實現(xiàn)信息安全目標,保持和改進組織的信息安全水平和能力。
前者可以稱為“產品導向的信息安全解決方案”,后者則稱為“需求導向的信息安全解決方案”。前者的特點是“頭痛醫(yī)頭”,解決局部問題;后者則是系統(tǒng)考慮,實現(xiàn)信息安全的全局治理。
3、信息安全管理體系實施原理
信息安全管理體系關注11個信息領域,39項控制目標,133條控制措施。通過螺旋式的提升過程,組織就能將不斷變化的的信息安全需求和期望轉化為可管理的信息安全。
4、ISMS認證的適用范圍
ISO27001目前已經被普遍應用于軟件、銀行、電信、印刷、政府等行業(yè)。ISO/IEC 27001從組織的整體業(yè)務風險的角度,為建立、實施、運行、監(jiān)視、評審、保持和改進文件化的ISMS規(guī)定了要求。它規(guī)定了為適應不同組織或其部門的需要而定制的安全控制措施的實施要求。任何組織,不論其規(guī)模大小,所屬行業(yè)或地理位置如何,均可采納ISO/IEC 27001標準。該標準尤其適合對信息安全有較高要求的行業(yè),例如金融及IT行業(yè)。ISO/IEC 27001對于代表他方管理信息的組織(例如IT外包公司、IC研發(fā)公司)也十分有效:它可用于使發(fā)包方有足夠的信息確信其信息得到接包方的有效保護。
二、實施ISMS的收益
1、預防信息安全事故,保證組織業(yè)務的連續(xù)性,使組織的重要信息資產受到與其價值相符的保護,包括防范:
 重要的商業(yè)秘密信息的泄漏、丟失、篡改和不可用;
 重要業(yè)務所依賴的信息系統(tǒng)因故障、遭受病毒或攻擊而中斷。
2、節(jié)省成本。一個好的ISMS不僅可通過避免安全事故而使組織節(jié)省成本,而且也能幫助組織合理籌劃信息安全費用支出,包括:
 依據信息資產的風險級別,安排安全控制措施的投資優(yōu)先級;
 對于可接受的信息資產的風險,不投資安全控制。
3、保持組織良好的競爭力和成功運作的狀態(tài),提高在公眾中的形象和聲譽,*大限度的增加投資回報和商業(yè)機會,增強客戶、合作伙伴等相關方的信任和信心。
4、強化員工的信息安全意識,規(guī)范組織的信息安全行為。
5、定期評估過程有助于組織持續(xù)監(jiān)控績效與改進,有助于管理和保護組織寶貴的信息資產。
實施 |
 |
|
手機站
您當前位置是:商業(yè)機會 >> 商務服務 >> 認證服務 >> 蘇州ISO27001 ISO27001蘇州 ISO27001咨詢認證 無
聯(lián)系信息