返回
iso17799-27001标准简介

iso17799-27001标准简介

ID:1668843

大小:26.50 KB

页数:9页

时间:2017-11-13

iso17799-27001标准简介_第1页
iso17799-27001标准简介_第2页
iso17799-27001标准简介_第3页
iso17799-27001标准简介_第4页
iso17799-27001标准简介_第5页
资源描述:

《iso17799-27001标准简介》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、第一讲ISO17799/27001标准简介ISO17799/27001标准简介一、信息安全管理概况近年来,信息安全被破坏的现象非常普遍。政府及国家的机密网络被黑客轻而易举地进入,公司的机密信息出现在报纸上或被人在垃圾桶中发现,财务信息被公布在网站上让所有人浏览,银行的资产通过网络系统流向黑客贪婪的钱袋……象这样的例子不胜枚举,同时每一天我们都能得到来自世界的有关信息安全被破坏的报告。在信息及其处理设备高度发达的今天,所有的组织,无论其性质、大小、国营或私营,都依赖于信息而存在。这些信息有的以纸面文件存在,有的用计算机软硬盘存储,甚至

2、存贮在员工或工作人员的头脑里。不管您的组织是怎样的性质,您的组织一定会有别的组织非常感性趣的信息。这些信息可能是您的价格表,客户信息,调研信息,市场计划或商务战略,您可以试想一下您可以离开这些信息多长时间?如果您在谈判中的位置,标书底价,产品研究和发展计划或个人信息落入别有用心的人的手中,将对您的组织产生什么样的影响?有的组织直到为时已晚的时候才认识到信息安全被破坏造成的影响。您的组织也许看似安全,但信息可以从不同的渠道泄露。世界经济已意识到信息的力量、价值及保护信息的重要性。信息安全被破坏的报告正在与日俱增,这就是为什么ISO17

3、799对于保护您的信息是如此重要。该标准提供了一个完整的切入、实施、维护和文件化组织内部的信息安全的框架。二、什么是ISO17799/27001信息安全管理标准?ISO17799信息安全管理标准要求建立一个完整的信息安全管理体系。该管理体系在组织中建立一个完整的切入、实施、维护和文件化的管理框架。该管理标准提供给组织信息安全管理的最佳实践指导。ISO/IEC17799(BS7799)是组织一个关键的管理工具,它可以用来识别管理和减小对组织信息安全的威胁。企业的信息如产品定价、客户信息、研究成果、市场开发计划或发展战略等是企业赖以生存

4、的宝贵财富。当一个组织与另一个组织合作的时候,对信息的保护尤为重要。当您的组织要把保密的信息与另一组织分享的时候,您应当肯定对方是否能够保证该信息的安全,同样的您也应该保证对方的敏感信息的安全。ISO17799是从BS7799转换来的,目前ISO17799的最新版本是ISO17799:2005,它包含了133个安全控制措施来帮助组织识别在运做过程中对信息安全有影响的元素。这133多个控制措施被分成11个方面,成为组织实施信息安全管理的实用指南,这十一个方面分别是:一、安全方针(SecurityPolicy)二、信息安全组织(Secu

5、rityOrganization)三、资产管理(AssetManagement)四、人员安全(PersonnelSecurity)五、物理与环境安全(PhysicalandEnvironmentalSecurity)六、通信与运营管理(CommunicationsandOperationsManagement)七、访问控制(AccessControl)八、系统开发与维护(SystemsDevelopmentandMaintenance)九、信息安全事故管理(InfomationIncidentManagement)十、业务持续性管理

6、(BusinessContinuityManagement)十一、法律符合性(Compliance)ISO27001:2005是根据ISO17799:2005制定的一个ISMS体系实施规范,并可使用该规范对组织的信息安全管理体系进行审核与认证。通过使用该规范能使组织建立信息安全管理体系,包括以下几个步骤:定义信息安全方针==>信息安全方针文档定义ISMS范围==>ISMS范围文档资产识别==>资产清单风险评估==>风险评估文档选择控制目标和控制措施==>控制规划体系运行==>运行计划和运行记录体系审核==>审核计划与审核记录管理评审

7、==>评审计划与评审记录体系认证==>认证申请及认证证书        根据ISO17799确定的内容,通过ISO27001来实施和认证ISMS,并不就一定能保证组织能完全摆脱信息安全遭破坏,但实施该标准使信息安全被破坏的可能性降低,因此降低投资和信息安全事故发生后的被破坏的程度。三、建立ISMS体系对组织有什么好处?保证信息安全不是仅有一个防火墙,或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。而引入信息安全管理体系就可以协调各个方面信息管理,从而使管理更为有效。信息安全管理体系标准(ISO27001)可

8、有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准,类似于质量管理体系认证的ISO9000标准。当您的组织通过了ISO27001的认证,就相当于通过ISO9000的质量认证一般,表示您

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。