ISO27000信息安全體系

　　一.當前企業(yè)面臨的信息安全的風險

　　隨著以計算機和網(wǎng)絡(luò)通信為代表的信息技術(shù)(IT)的迅猛發(fā)展，政府部門、金融機構(gòu)、企事業(yè)單位和商業(yè)組織對IT 系統(tǒng)的依賴也日益加重，而智能手機、郵件、即時通訊工具(微信、QQ等)的大面積使用，信息技術(shù)幾乎滲透到了世界各地和社會生活的方方面面。

　　信息管理方面的漏洞以及經(jīng)常見諸報端的種種信息安全事件表明，任何組織都急需建立信息安全管理體系，以保障其技術(shù)和商業(yè)機密，保障信息的完整性和可用性，保持其生產(chǎn)、經(jīng)營活動的連續(xù)性。

　　二.什么是信息安全

　　信息像其他重要的商務(wù)資產(chǎn)一樣，也是一種資產(chǎn)，對一個組織而言具有價值，因而需要被妥善保護。信息安全使信息避免一系列威脅，保障了組織商務(wù)的連續(xù)性，大限度地減小組織的商務(wù)損失，順利獲取投資和商務(wù)回報。信息可以以多種形式存在。它可以是打印或?qū)懺诩埳?如：書面的財務(wù)報表等);電子形式存貯(如:一個組織ERP系統(tǒng)的備份磁帶);通過郵件或用電子手段傳輸;顯示在膠片上;表達在會話中。不論信息采用什么方式或采取什么手段共享和存貯，因為它有價值，應(yīng)該得到妥善的保護。

　　信息安全主要體現(xiàn)在以下三個方面：

　　一是保密性。

　　二是完整性。

　　三是可用性。

　　三.ISO27001信息安全管理體系介紹

　　ISO 27001標準把信息資料看作是公司的資產(chǎn)，其對公司的生存與發(fā)展起著關(guān)鍵作用，尤其是在知識經(jīng)濟和電子信息時代，確保信息安全更是非常有必要的。英國曾做過一項統(tǒng)計，百分之80的信息資料的損失是與人為因素有關(guān)的。所以防止人為因素造成的信息風險被作為信息安全的主要控制對象。

　　ISO 27001信息安全管理體系一個重要的方面是對信息風險的分析與管理。信息風險涉及可能造成信息損失的方方面面。比如電腦病毒有導致信息資料丟失或損壞的危險，可規(guī)定定期進行電腦病毒的檢查;外來人員進入本公司，有導致信息資料失竊的危險，可規(guī)定采用門口設(shè)密碼、電子卡等方式進入公司;更新電腦軟件有導致信息資料無法讀取的風險，可規(guī)定在進行電腦軟件的更新時對電腦軟件的兼容性進行評估;聘請外公司人員為本公司工作，本公司信息資料有流失的危險，在這種情況下須與外公司人員簽訂保密協(xié)議;在審核磁盤資料時，有可能導致磁盤文件被更改，可設(shè)置程序保證審核人員使用只可讀不可改的文件或備份文件;以及防止內(nèi)部人員和工業(yè)間諜的竊取，拷貝的軟盤與電腦分別存放于不同的房間，作廢的文件資料監(jiān)視銷毀等。

　　具體在信息安全體系策劃時，需要根據(jù)公司的實際運行過程、環(huán)境、涉及的信息系統(tǒng)和工具等，進行風險分析及有針對性的制定措施。信息安全管理就是對信息安全風險進行識別、分析、采取措施將風險降到可接受水平并維持該水平的過程。企業(yè)的信息安全管理不是一勞永逸的，由于新的威脅不斷出現(xiàn)，信息安全管理是一個相對的、動態(tài)的過程，企業(yè)能做到的就是要不斷改進自身的信息安全狀態(tài)，將信息安全風險控制在企業(yè)可接受的范圍之內(nèi)，獲得企業(yè)現(xiàn)有條 件下和資源能力范圍內(nèi)大程度的安全。

　　信息安全是通過執(zhí)行一套適當?shù)目刂苼磉_到的。可以是方針、慣例、程序、組織結(jié)構(gòu)和軟件功能來實現(xiàn)，這些控制方式需要確定，才能保障組織特定的安全目標的實現(xiàn)。

　　●ISO27001體系目標

　　采用信息安全管理體系(ISO27001)是組織的一項戰(zhàn)略性決策。信息安全管理體系通過應(yīng)用風險管理過程來保持組織核心信息的保密性、完整性和可用性，并給相關(guān)方建立風險得到充分管理的信心。

　　●ISO27001體系作用

　　信息安全管理體系通過建立一整套的體系手冊、SOA、程序文件、安全策略，保障組織的核心信息的安全性。信息安全管理體系包含15個控制域和113個控制措施，對組織的物理安全、網(wǎng)絡(luò)安全、人員安全、運行安全、訪問控制安全、系統(tǒng)安全、供應(yīng)商安全等方面進行管控，保障組織的核心信息的安全性。

　　●建立信息安全管理體系的意義

　　組織可以參照信息安全管理模型，按照先進的信息安全管理標準ISO 27001標準建立組織完整的信息安全管理體系并實施與保持，達到動態(tài)的、系統(tǒng)的、全員參與、制度化的、以預防為主的信息安全管理方式，用低的成本，使信息風險的發(fā)生概率和結(jié)果降低到可接受水平，并采取措施保證業(yè)務(wù)不會因風險的發(fā)生而中斷。組織建立、實施與保持信息安全管理體系將會：

　　●強化員工的信息安全意識，規(guī)范組織信息安全行為;

　　●對組織的關(guān)鍵信息資產(chǎn)進行系統(tǒng)的保護，維持競爭優(yōu)勢;

　　●在信息系統(tǒng)受到侵襲時，確保業(yè)務(wù)持續(xù)開展并將損失降到很低程度;

　　●使組織的生意伙伴和客戶對組織充滿信心。