返回
信息安全管理体系认证简介

信息安全管理体系认证简介

ID:18676217

大小:596.00 KB

页数:4页

时间:2018-09-21

信息安全管理体系认证简介_第1页
信息安全管理体系认证简介_第2页
信息安全管理体系认证简介_第3页
信息安全管理体系认证简介_第4页
资源描述:

《信息安全管理体系认证简介》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全管理体系认证简介一.信息安全管理随着以计算机和网络通信为代表的信息技术(IT)的迅猛发展,政府部门、金融机构、企事业单位和商业组织对IT系统的依赖也日益加重,信息技术几乎渗透到了世界各地和社会生活的方方面面。如今,遍布全球的互联网使得组织机构不仅内在依赖IT系统,还不可避免地与外部的IT系统建立了错综复杂的联系,但系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等事情时有发生,这些给组织的经营管理、生存甚至国家安全都带来严重的影响。所以,对信息加以保护,防范信息的损坏和泄露,已成为当前组织迫切需要解

2、决的问题。俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。二.信息安全管理体系标准发展历史及主要内

3、容目前,在信息安全管理体系方面,ISO/IEC27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英国标准BS7799转换而成的。BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准,适用于大、中、小组织。1998年英国公布标准的第二部分BS7799-24《信息安全管理体系规

4、范》,它规定信息安全管理体系要求与信息安全控制要求,是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。2000年12月,BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准-----ISO/IEC17799:2000《信息技术-信息安全管理实施细则》,该标准现已升版为

5、ISO/IEC17799:2005。2002年9月5日,BS7799-2:2002正式发布,2002版标准主要在结构上做了修订,引入了PDCA(Plan-Do-Check-Act)的过程管理模式,建立了与ISO9001、ISO14001和OHSAS18000等管理体系标准相同的结构和运行模式。2005年,BS7799-2:2002正式转换为国际标准ISO/IEC27001:2005。依据ISO/IEC27001:2005建立信息安全管理体系并获得认证正成为世界潮流。ISO/IEC27001:2005标准包括11大管理要项、39个控制

6、目标和133项控制措施,为组织提供全方位的信息安全保障。1.安全方针――管理层应对信息安全提出明确目标,并制定出可操作的安全管理策略,为信息安全提供管理指导和支持。2.安全组织――在组织内建立信息安全组织、管理与第三方有关、及外包管理安全问题。41.资产分类与管理――对与信息技术有关的资产进行分类,加强与信息技术有关的资产分类管理,并对这些资产就价值和重要性进行分类标识,实施不同安全措施对这些资产进行保护。2.人力资源安全――明确工作人员在招聘、雇佣、解聘过程中所涉及的信息保密等安全问题,加强对工作人员信息安全培训与教育,提高工作人

7、员安全防范意识,减少人为错误、偷窃、欺诈或滥用信息及处理设施的风险。3.物理和环境安全――分析安全威胁来源,划分物理安全区域,加强对后台计算机服务器与用户桌面计算机的保护,防止因水、火、盗窃、雷电、电力供应、化学腐蚀等因素带来的安全威胁,并制定计算机设备引进、日常运行、销毁处理程序和办法。4.通信与操作管理――覆盖应用系统日常运营和维护程序、服务水平管理、网络管理、存储介质管理、防恶意软件攻击保护、系统和数据备份与恢复管理、信息交换管理等,确保信息处理设施正确和安全运行。5.访问控制――定义用户存取控制策略,管理用户存取过程,包括对

8、网络存取控制、操作系统、应用系统及移动设备和远程工作设备进行存取控制。6.系统的获取、开发和维护――明确应用系统安全需求,包括输入数据校验、输出数据校验、业务处理过程校验、传输数据认证等;确定加密控制办法,包括加密、数字签名、不可否认

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。