ISO/IEC27001信息安全管理体系标准浅析

libetterman

信息是商业企业的重要财富，能够认识到信息的商业价值对于组织来说极其重要。公司需要确保信息管理的有效性，使之产生最大的价值。
  信息安全风险管理要确保信息不会出现下列问题：
  (1)被拒绝或无法进入，这可能是外界威胁或系统临时性故障或超负荷引起的服务器被袭击引起；
  (2)丢失、破坏或毁坏，可能是来自外部威胁或系统临时性故障或用户处理错误而被袭击；
  (3)不经授权而泄漏、透露或被盗，这可能来自外部威胁、临时性系统故障或知情人向竞争对手或外公司同行泄漏信息。
6 g8 W) ^/ J. K( j6 ~  没有信息安全，公司必定会遭受各种不良影响，包括财政后果、对组织的知识资源和知识产权保护削弱、丧失市场份额、生产力和作业等级低下、运行效率低、与法律法规不符或形象和声誉受损。
" n6 m+ y; X9 G  E* Q; }( [# _1 [7 a
  1．信息是商业企业的重要财富
  ISO/IEC27001：2005《信息技术一信息安全管理体系一要求》为设计和制定信息安全管理体系提供了基础。
$ }/ e. J$ h3 G/ V  该标准取代了BSI制定的BS7799第2部分：2002信息安全标准，并对该标准进行了修订和改进。
/ o; K3 V. t; F 2．信息安全的管理
作为一个管理工具，ISO/IEC27001涉及一个组织广泛的责任和职责，如，企业的社会责任、管理、法律和管制义务。
  ISO/IEC27001是基于风险的规范，它关注公司管理的信息安全方面、有形和无形资产信息资产保护、合法和合乎契约的义务，以及对组织信息和通讯技术(ICT)系统和商业企业运作的多方威胁。
; u1 J" I# s1 f0 }5 b8 [  将ISO/IEC27001风险管理原理作为商业企业全面风险管理方法，为组织提供了实施符合组织目标和商业要求的有效的信息安全管理手段。
7 s$ ?/ T2 R+ x* q& x+ ^9 a  3．ISMS认证
: S' q1 @2 Y2 Y; j/ s BS7799第2部分认证已实施几年。ISO/IEC2700l：2005(或BS7799第2部分)并不强制要求认证，是否进行认证由组织决定。ISO/IEC27001：2005(以前的BS7799第2部分)不进行认证也可使用。 然而，来自50多个国家的2000多个组织已进行了认证，并且认证组织的数量还在迅速增长。
' ?7 D1 q, c! S+ D! P: @+ A; ~ 4．ISO27001涉及的行业
已经实施IS027001的组织涉及许多行业，包括：电信、金融和保险业、制造业、公共事业(电、气、油、水)、零售业、服务业、卫生、公安和紧急服务、大学和政府部门。
  t% K1 T  m, h6 D8 q; H  来自全世界的反馈是：企业迫切希望出台IS0/IEC27001，以便获得国际通用语言的认证。继IS09001和IS014001成功之后，ISO/IEC27001的出台将会加速认证行业的发展。
- R& `. X" {, t  ISO/IEC27001：2005已经发布，BS7799第2部分：2005已经废止，目前所有的认证都需升级为ISO/IEC27001认证。各国家认可机构将允许客户在ISO/IEC27001：2005发布之后的18个月过渡到新标准。
9 R' g# t+ m6 T2 X0 b- q 5．ISMS成功因素
组织实施ISO/IEC27001关键在于：
5 C! ]" z1 ~. }! E (1)关注企业的需求；
% s, S, z; Y& x (2)始终把信息安全作为实施企业风险管理、为组织的商业健康发展采取有成本效益的措施的一部分；
  (3)把信息安全当作企业文化；
  (4)确保信息安全是有效开展ISMS，确保企业在持续改进过程中保持企业安全性的持续发展的过程；
$ v9 m% t% a6 k" X  (5)在过程的早期实现管理承诺；
1 n7 x+ D  a( |9 `  (6)在企业采取多种安全措施，不应将安全问题只交给IT部门，应把安全当作全公司的问题，各级管理层和工作人员都应尽到责任。
' R- I0 Z- d7 U) H. K  ISO/IEC27001已经成为信息安全管理体系的国际通用语言。用户证明，该标准会为企业带来许多益处，能确保企业安全、健康发展，并使企业在充满风险的环境中获得成功。

wmf2005

:good:good