檢測認證人脈交流通訊錄
信息安全管理體系標準業務介紹
這真不是您需要的服務?
-
認證機構類別:認證培訓機構
認證服務類別:管理體系認證 1、 背景介紹
信息作為組織的重要資產,需要得到妥善保護。但隨著信息技術的高速發展,特別是Internet的問世及網上交易的啟用,許多信息安全的問題也紛紛出現:系統癱瘓、黑客入侵、病毒感染、網頁改寫、客戶資料的流失及公司內部資料的泄露等等。這些已給組織的經營管理、生存甚至國家安全都帶來嚴重的影響。 安全問題所帶來的損失遠大于交易的帳面損失,它可分為三類,包括直接損失、間接損失和法律損失:
·直接損失:丟失訂單,減少直接收入,損失生產率;
·間接損失:恢復成本,競爭力受損,品牌、聲譽受損,負面的公眾影響,失去未來的業務機會,影響股票市值或政治聲譽;
·法律損失:法律、法規的制裁,帶來相關聯的訴訟或追索等。所以,在享用現代信息系統帶來的快捷、方便的同時,如何充分防范信息的損壞和泄露,已成為當前企業迫切需要解決的問題。
俗話說“三分技術七分管理”。目前組織普遍采用現代通信、計算機、網絡技術來構建組織的信息系統。但大多數組織的最高管理層對信息資產所面臨的威脅的嚴重性認識不足,缺乏明確的信息安全方針、完整的信息安全管理制度、相應的管理措施不到位,如系統的運行、維護、開發等崗位不清,職責不分,存在一人身兼數職的現象。這些都是造成信息安全事件的重要原因。缺乏系統的管理思想也是一個重要的問題。所以,我們需要一個系統的、整體規劃的信息安全管理體系,從預防控制的角度出發,保障組織的信息系統與業務之安全與正常運作。
2、標準發展目前,在信息安全管理體系方面,ISO27001:2005――信息安全管理體系標準已經成為世界上應用最廣泛與典型的信息安全管理標準。標準適用于各種性質、各種規模的組織,如政府、銀行、電訊、研究機構、外包服務企業、軟件服務企業等。
2008年6月,ISO27001同等轉換成國內標準GB/T22080-2008,并在2008年11月1日正式實施。
經過多年的發展,信息安全管理體系國際標準已經出版了一系列的標準,其中ISO/IEC27001是可用于認證的標準,其他標準可為實施信息安全管理的組織提供實施的指南。目前各標準的現行狀態如下表1:
表1 ISO27000標準族現行狀態
序號標準編號
標準名稱
現行狀態
1
ISO27000
信息技術 – 安全技術 - 信息安全管理體系 - 概論及術語
2009年出版
2
ISO27001
信息技術 – 安全技術 - 信息安全管理體系 - 要求
2005年出版
3
ISO/IEC 27002
信息技術 – 安全技術 - 信息安全管理 - 為規范
2005年出版
4
ISO/IEC 27003
信息技術 – 安全技術 - 信息安全管理體系 - 實施指南
2010年出版
5
ISO/IEC 27004
信息技術 – 安全技術 - 信息安全管理- 測量
2009年出版
6
ISO/IEC 27005
信息技術 – 安全技術 - 信息安全風險管理
2008年出版
7
ISO/IEC 27006
信息技術 – 安全技術 - 認證機構要求
2007年出版
8
ISO/IEC 27007
信息技術 – 安全技術 - 信息安全管理體系審核指南
委員會草案
9
ISO/IEC 27008
控制審核員指南
委員會草案
10
ISO/IEC 27010
行業間交流的信息安全管理
工作組草案
11
ISO/IEC 27011
信息技術 – 安全技術 - 基于ISO/IEC 27002通訊行業信息安全管理體系
2008年出版
12
ISO/IEC 27013
信息技術 – 安全技術 -? ISO/IEC 20000-1及 ISO/IEC 27001一體化實施指南
工作組草案
13
ISO/IEC 27014
信息安全治理框架
工作組草案
14
ISO/IEC 27015
金融及保險行業信息安全管理體系
批準的項目
15
ISO/IEC 27031
信息技術 – 安全技術 – 業務連續性的ICT準備能力指南
最終委員會草案
16
ISO/IEC 27032
信息技術 – 安全技術 – 網絡空間安全指南
委員會草案
17
ISO/IEC 27033-1
信息技術 – 安全技術 – 網絡安全 – 第1部分:概述和概念
2009年出版
18
ISO/IEC 27033-2
信息技術 – 安全技術 – 網絡安全 – 第2部分:設計和實施網絡安全指南
最終委員會草案
19
ISO/IEC 27033-3
信息技術 – 安全技術 – 網絡安全 – 第3部分:參考網絡情境 – 威脅、設計技術和控制活動
最終委員會草案
20
ISO/IEC 27033-4
信息技術 – 安全技術 – 網絡安全 – 第4部分:使用安全網關確保網絡間的通信安全 – 威脅、設計技術和控制活動
工作組草案
21
ISO/IEC 27034-1
應用安全 – 第1部分:概述和概念
最終委員會草案
22
ISO/IEC 27034-2
應用安全 – 第2部分:組織規范性框架
批準的新項目
23
ISO/IEC 27034-3
應用安全 – 第3部分:應用安全管理過程
批準的新項目
24
ISO/IEC 27034-4
應用安全 – 第4部分:應用安全確認
批準的新項目
25
ISO/IEC 27034-5
應用安全 – 第5部分:協議和應用安全控制的數據結構
批準的新項目
26
ISO/IEC 27035
信息技術 – 安全技術 – 信息安全事件管理
最終委員會草案
27
ISO/IEC 27036
信息技術 – 安全技術 – 外包安全指南
批準的新項目
28
ISO/IEC 27037
識別、收集、獲取和保存數字證據指南
工作組草案
29
ISO/IEC 27038
信息技術 – 安全技術 – 數字化修訂詳述
批準的新項目
3、ISO27001標準內容簡介ISO27001:2005標準包括11大控制領域(見圖1)、39個控制目標和133項控制措施,為組織提供全方位的信息安全保障。
4、標準特點
- 注重體系的完整性,是一套科學的信息安全管理體系
- 強調對法律法規的符合性
- 以風險評估為基礎,采用PDCA的過程方法
- 適用于各種類型、不同規模和業務性質的組織
- 與其他管理體系兼容(例如ISO9000標準等)
