企业名称Q重庆西艾恩U技发展有限公司
联系Q?/p>
?sh)话Q?2362625553
邮箱Qcqcin@qq.com
地址Q重庆市沙坪坝区汇泉?号附1?5-11
?!DOCTYPE html>
为?zhn)提供CCC认证咨询、CQC认证咨询{认证咨询服务和理咨询服务
全国咨询热线
02362625553
企业名称Q重庆西艾恩U技发展有限公司
联系Q?/p>
?sh)话Q?2362625553
邮箱Qcqcin@qq.com
地址Q重庆市沙坪坝区汇泉?号附1?5-11
信息安全 (Information security): 是指信息的保密?(Confidentiality) 、完整?(Integrity) 和可用?(Availability) 的保持?/span>
信息完整性一斚w是指信息在利用、传输、贮存等q程中不被篡攏V丢失、缺损等Q另一斚w是指信息处理的方法的正确性。不正当的操作,如误删除文gQ有可能造成重要文g的丢失?
保密性:Z障信息仅仅ؓ那些被授权用的取?/span>
信息的保密性是针对信息被允许访问( Access Q对象的多少而不同,所有h员都可以讉K的信息ؓ公开信息Q需要限制访问的信息一般ؓ敏感信息或秘密,U密可以Ҏ(gu)信息的重要性及保密要求分ؓ不同的密U,例如国家Ҏ(gu)U密泄露对国家经、安全利益生的影响Q后果)不同Q将国家U密分ؓU密、机密和l密三个{Q组l可Ҏ(gu)其信息安全的实际Q在W合《国家保密法》的前提下将其信息划分ؓ不同的密U;对于具体的信息的保密性有时效性,如秘密到期解密等?/span>
完整性:Z护信息及其处理方法的准确性和完整性?/span>
信息的可用性是指信息及相关的信息资产在授权人需要的时候,可以立即获得。例如通信U\中断故障会造成信息的在一D|间内不可用,影响正常的商业运作,q是信息可用性的破坏。不同类型的信息及相应资产的信息安全在保密性、完整性及可用性方面关注点不同Q如l织的专有技术、市销计划{商业秘密对l织来讲保守机密其重要Q而对于工业自动控制系l,控制信息的完整性相对其保密性重要得多?/span>
Z么需要信息安全?
信息、信息处理过E及对信息v支持作用的信息系l和信息|络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是臛_重要的。然而,来多的组l及其信息系l和|络面(f)着包括计算骗、间谍、蓄意破坏、火灾、水灄大范围的安全威胁Q诸如计机病毒、计机入R?Dos d{手D造成的信息灾隑ַ变得更加普遍 , 有计划而不易被察觉。组l对信息pȝ和信息服务的依赖意味着更易受到安全威胁的破坏,公共和私人网l的互连及信息资源的׃n增大了实现访问控制的隑ֺ。许多信息系l本w就不是按照安全pȝ的要求来设计的,所以仅依靠技术手D|实现信息安全有其局限性,所以信息安全的实现必须得到理和程序控制的适当支持。确定应采取哪些控制方式则需要周密计划,q注意细节。信息安全管理至需要组l中的所有雇员的参与Q此外还需要供应商、顾客或股东的参与和信息安全的专家徏议。在信息pȝ设计阶段将安全要求和控制一体化考虑Q则成本会更低、效率会更高?/span>
BS7799的信息管理过E:
①确定信息安全管理方针?/span>
②确?ISMS( 信息安全理体系) 的范?/span>
③进行风险分析?/span>
④选择控制目标q进行控制?/span>
⑤徏立业务持l计划?/span>
⑥徏立ƈ实施安全理体系?/span>
建立信息安全理体系的作用:
Ml织Q不论它在信息技术方面如何努力以及采U_何新的信息安全技术,实际上在信息安全理斚w都还存在漏洞Q例如:
~少信息安全理论坛Q安全导向不明确Q管理支持不明显Q?nbsp;
~少跨部门的信息安全协调机制Q?nbsp;
保护特定资以及完成特定安全q程的职责还不明;
雇员信息安全意识薄弱Q缺防范意识,外来人员很容易直接进入生产和工作场所Q?nbsp;
l织信息pȝ理制度不够健全Q?nbsp;
l织信息pȝL房安全存在隐(zhn),如:防火设施存在问题Q与危险品仓库同处一q办公楼{;
l织信息pȝ备䆾讑֤仍有Ơ缺Q?nbsp;
l织信息pȝ安全防范技术投入欠~;
软g知识产权保护Ơ缺Q?nbsp;
计算机房、办公场所{物理防范措施欠~;
档案、记录等~少可靠贮存场所Q?nbsp;
~少一旦发生意外时的保证生产经营连l性的措施和计划;
……等{?/span>
其实Q组l可以参照信息安全管理模型,按照先进的信息安全管理标?BS7799 标准建立l织完整的信息安全管理体pdƈ实施与保持,辑ֈ动态的、系l的、全员参与、制度化的、以预防Z的信息安全管理方式,用低的成本,辑ֈ可接受的信息安全水^Q就可以从根本上保证业务的连l性。组l徏立、实施与保持信息安全理体系会产生如下作用Q?/span>
强化员工的信息安全意识,规范l织信息安全行ؓQ?nbsp;
对组l的关键信息资q行全面pȝ的保护,l持竞争优势Q?nbsp;
在信息系l受CR袭时Q确保业务持l开展ƈ损失降CE度Q?nbsp;
使组l的生意伙伴和客户对l织充满信心Q?nbsp;
如果通过体系认证Q表明体pȝ合标准,证明l织有能力保障重要信息,提高l织的知名度与信dQ?nbsp;
促ɽ理层坚持诏M息安全保障体pR?nbsp;
BS7799标准概述Q?/span>
1995 q_英国贸工部根据英国国内企业对信息安全日益高涨的呼壎ͼl织大企业的信息安全l理们,制定了世界上一个信息安全管理体pL?BS7799-1 Q?1995 《信息安全管理实施规则》,作ؓ工商业和大、中、小型组l实施信息安全管理的指南。由于该标准采用和指导方式编写,因而不宜作证标准用?nbsp;
1998 q_Z适应W三方认证的需要,英国又制定了一个信息安全管?a target="_blank">体系认证标准 --BS7799-2 Q?1998 《信息安全管理体p规范》,作ؓ对一个组l的全面或部分信息安全管理体p进行评审认证的依据标准?nbsp;
1999 q_鉴于计算机和信息处理技术,其是网l和通信领域应用的迅速发展,英国又对信息安全理体系标准q行了修订。修订后?BS7799-1 Q?1999 ?BS7799-2 Q?1999 分别取代?BS7799-1 Q?1995 ?BS7799-2 Q?1998 。新修订?1999 版标准进一步强调了l织在商务工作中所涉及的信息安全和信息安全责Q?BS7799-1 Q?1999 ?BS7799-2 Q?1999 是一寚w套标准, BS7799-1 Q?1999 为如何徏立和实施W合 BS7799-2 Q?1999 标准要求的信息安全管理体pL供了佳的应用?nbsp;
2000 q?12 月, BS7799-1 Q?1999 已经?ISO/IEC 正式采纳成ؓ国际标准 -- ISO/IEC 17799 Q?2000 《信息技术—信息安全管理实施规则》,另外Q?BS7799-2 Q?1999 也即于 2002 q底?ISO/IEC 作ؓ蓝本修订后成为可用于认证?ISO/IEC 的《信息安全管理体p规范》?nbsp;
信息安全认证是实C息安全目标的佳途径Q?/span>
BS7799-2Q?002信息安全理体系规范向组l提Z一pd认证的要求,在d中提出组l应建立q保持一个文件化的信息安全管理体p,阐述被保护的资、组l风险管理的渠道、控制目标及控制方式和需要的保证{Q通过建立理架构q加以实施来辑ֈ识别控制目标和控制方式,qŞ成文件和记录?/span>
BS7799-2Q?002的控制细则包?0个方面:
安全斚wQؓ信息安全提供理指导和支持;
l织安全Q徏立信息安全架构,保证l织的内部管理;被第三方讉K或外协时Q保障组l的信息安全Q?nbsp;
资的归cM控制Q明资产责任,保持对组l资产的适当保护Q将信息q行归类Q确保信息资产受到适当E度的保护;
人员安全Q在工作说明和资源方面,减少因h为错误、盗H、欺诈和设施误用造成的风险;加强用户培训Q确保用h楚知道信息安全的危险性和相关事项Q以便在他们的日常工作中支持l织的安全方针;制定安全事故或故障的反应E序Q减由安全事故和故障造成的损失,监控安全事gq从q种事g中吸取教训;
实物与环境安全:定安全区域Q防止非授权讉K、破坏、干扰商务场所和信息;通过保障讑֤安全Q防止资产的丢失、破坏、资产危宛_商务zd的中断;采用通用的控制方式,防止信息或信息处理设施损坏或qQ?nbsp;
通信和操作方式管理:明确操作E序及其责QQ确保信息处理设施的正确、安全操作;加强pȝ{划与验Ӟ减少pȝ失效风险Q防范恶意Y件以保持软g和信息的完整性;加强内务理以保持信息处理和通讯服务的完整性和有效性通过 ; 加强|络理保|络中的信息安全及其辅助设施受到保护Q通过保护媒体处理的安?, 防止资损坏和商务活动的中断Q加Z息和软g的交换的理Q防止组l间在交换信息时发生丢失、更改和误用Q?nbsp;
讉K控制Q按照访问控制的商务要求Q控制信息访问;加强用户讉K理Q防止非授权讉K信息pȝQ明用戯责,防止非授权的用户讉KQ加强网l访问控Ӟ保护|络服务E序Q加强操作系l访问控?, 防止非授权的计算问;加强应用讉K控制Q防止非授权讉Kpȝ中的信息Q通过监控pȝ的访问与使用Q监非授权行ؓQ在Ud式计和?sh)传工作斚w , 保使用Ud式计和?sh)传工作设施的信息安全?nbsp;
pȝ开发与l护Q明系l安全要求,保安全性已构成信息pȝ的一部䆾Q加强应用系l的安全Q防止应用系l用h据的丢失、被修改或误用;加强密码技术控Ӟ保护信息的保密性、可靠性或完整性;加强pȝ文g的安全,保 IT Ҏ(gu)及其支持zd以安全的方式q行Q加强开发和支持q程的安全,保应用pȝ软g和信息的安全Q?nbsp;
商务q箋性管理:防止商务zd的中断及保护关键商务q程不受重大p或灾难事故的影响Q?nbsp;
W合Q符合法律法规要求,避免刑法、民法、有x令法规或合同U定事宜及其他安全要求的规定相抵触;加强安全斚w和技术符合性评审,保体系按照l织的安全方针及标准执行Q系l审核考虑因素Q效果大化 , qɾpȝ审核q程的媄响小化?nbsp;
在国际标?ISO/IEC17799 l出了ؓ实现信息安全认证所需的各Ҏ(gu)施的详细指导Q具有很强的可操作性和指导性?/span>
归根l底Q信息安全工作的目的是在法律、法规、政{的支持与指gQ通过采用合适的安全技术与安全理措施Q提供安全需求的保证Q?BS7799 信息安全认证标准正是d了这些要求。组l可以根据自w特点,?ISO/IEC 17799 指导下,实现信息安全的要求?/span>
ISO27001Q?005 《信息安全管理体p要求?/span>
ISO27001 Q?2005 《信息安全管理体p要求》是关于信息安全理的标准,是标准不是方法,辑ֈq些标准的要求ƈ不难Q重要的是用什么方法去实现。企业应实施标准作为全面改善内部管理的一ơ机会,不应该将标准做ؓ一U简单的模式对现有流E运作进行套用,应对现有的组l运作流E进行详l分析,有针Ҏ(gu)地设计q改善现有管理体pR改善薄q节、改善运作流E及内部沟通,q有效地先q的理思想融合到具体的实施E序中,才能发挥标准的真正作用?/span>
获得认证证书不是l目的,建立有责、有序、有效、高效的信息安全理体系Q提高员工的信息安全意识Q不断获取ƈq用先进的管理方法和技术手D|能企业的信息安全管理水q_以持l的发展和提升?/span>