1、什么是ISMS
信息安全管理體系(Information Security ManagementSystem����,簡稱ISMS)起源于英國標準協會(British Standards Institution, BSI)1990年代制定的英國國家標準BS7799,是系統化管理思想在信息安全領域的應用����。
隨著國際標準化組織(ISO)和國際電工學會(IEC)聯合將BSI的相關工作轉化為ISMS國際標準(ISO/IEC27001:2005)�����,ISMS迅速得到全球各類組織的接受和認可,成為世界不同國家和地區、不同類型�����、不同規模的組織解決信息安全問題的有力武器�����。ISMS證書也成為組織向其客戶�����、合作伙伴等各種相關方及社會大眾證明其信息安全能力和水平的標志。
2����、為什么需要ISMS
我們已經身處信息時代�����,計算機和網絡已經成為各類組織不可或缺的工具,信息成為組織賴以生存的重要資產����,價值與日俱增�,與此同時也面臨各種各樣��、越來越多的安全威脅��。病毒破壞、黑客攻擊、網絡欺詐、重要信息資料丟失�����、信息系統癱瘓以及利用計算機網絡實施的各種犯罪行為層出不窮�����、防不勝防����。信息資產一旦遭到破壞�,將給組織帶來直接的經濟損失,并導致組織的聲譽和公眾形象受到損害��,使組織喪失市場機會和競爭力���,甚至威脅組織的生存�。因此,組織必須解決信息安全問題,有效保護信息資產。
2000年12月�,國際標準化組織(ISO)和國際電工學會(IEC)聯合發布*一個信息安全管理國際標準ISO/IEC17799:2000“信息安全管理實用規則(Code of practice for information securitymanagement)”���。2005年6月�����,ISO和IEC對該標準進行修訂,發布ISO/IEC17799:2005信息安全管理實用規則(為與隨后發布的ISO/IEC 27001:2005相一致,2007年將其改為ISO/IEC27002:2005)���。2005年10月,發布ISO/IEC 27001:2005“信息安全管理體系要求(InformationSecurity Management System Requirements)”。
自此,ISMS在國際上得到正式確立并蓬勃發展���。如今ISMS已經成為信息安全領域的熱門話題���;趪H標準ISO/IEC27001:2005的信息安全管理體系(Information Security Management System,ISMS)是目前國際上得到公認的先進的信息安全解決方案��,已為越來越多的組織所采用��。
ISO/IEC27001:2005根植于PDCA管理體系改善模式,指導組織系統地從133項信息安全控制措施中選擇適合組織自身信息安全要求的控制措施,以幫助組織解決信息安全問題,實現信息安全目標。
為了保障組織信息安全�����,在計劃(Plan)階段�����,組織需要進行風險評估以了解組織的信息安全需求���,并根據需求設計解決方案�����;在實施(Do)階段,組織將解決方案付諸實現����;在檢查(Check)階段��,需要持續監視和審查解決方案的有效性;在措施(Act)階段�����,對所發現的問題并結合組織內����、外部環境的變化予以解決�,以持續提升組織的信息安全。
通過螺旋式的提升過程��,組織就能將不斷變化的的信息安全需求和期望轉化為可管理的信息安全實現�����。
3���、什么是ISMS認證
所謂認證��,即由可以充分信任的第三方認證機構依據特定的審核準則�����,按照規定的程序和方法對受審核方實施審核,以證實某一經鑒定的產品或服務符合特定標準或規范性文件的活動���。
針對ISO/IEC 27001的受認可的認證,是對組織的ISMS符合ISO/IEC 27001要求的一種認證�����。這是一種通過權威的第三方審核之后提供的保證:受認證的組織實施了ISMS�,并且符合ISO/IEC27001標準的要求。通過認證的組織�,將會被注冊登記����。
4����、為什么要進行ISMS認證
根據CSI/FBI的Computer Crime and Security Survey2005中的統計���,65%的組織至少發生了一次信息安全事故��,而在這份報告中同時表明有97%的組織部署了防火墻�����,96%組織部署了防病毒軟件�?梢�,我們傳統的信息安全技術手段并不奏效�����,信息安全現狀不容樂觀�。
實際上����,只有在宏觀層次上實施了良好的信息安全管理,即采用國際上公認的*佳實踐或規則集等���,才能使微觀層次上的安全,如物理措施等,實現其恰當的作用。采用ISMS標準并得到認證無疑是組織應該考慮的方案之一�。
1���、預防信息安全事故����,保證組織業務的連續性����,使組織的重要信息資產受到與其價值相 符的保護,包括防范:
 重要的商業秘密信息的泄漏�、丟失��、篡改和不可用�;
 重要業務所依賴的信息系統因故障、遭受病毒或攻擊而中斷。
2、節省成本。一個好的ISMS不僅可通過避免安全事故而使組織節省成本,而且也能幫助組織合理籌劃信息安全費用支出����,包括:
 依據信息資產的風險級別�,安排安全控制措施的投資優先級�;
 對于可接受的信息資產的風險,不投資安全控制。
3�、保持組織良好的競爭力和成功運作的狀態���,提高在公眾中的形象和聲譽��,*大限度的增加投資回報和商業機會,增強客戶�����、合作伙伴等相關方的信任和信心。
ISMS認證有助于組織節約信息安全成本,增強客戶��、合作伙伴等相關方的信心和信任�,提高組織的公眾形象和競爭力,有助于管理和保護組織寶貴的信息資產。 |
 |
|
手機站
您當前位置是:商業機會 >> 商務服務 >> 認證服務 >> 供應蘇州ISO27001咨詢與認證
聯系信息
