問題解答：

今天，我們已經(jīng)身處信息時代，在這個時代，“計算機和網(wǎng)絡”已經(jīng)成為組織重要的生產(chǎn)工具，“信息”成為主要的生產(chǎn)資料和產(chǎn)品，組織的業(yè)務越來越依賴計算機、網(wǎng)絡和信息，它們共同成為組織賴以生存的重要信息資產(chǎn)?？墒牵嬎銠C、網(wǎng)絡和信息等信息資產(chǎn)在服務于組織業(yè)務的同時，也受到越來越多的安全威脅。病毒破壞、黑客攻擊、信息系統(tǒng)癱瘓、網(wǎng)絡欺詐、重要信息資料丟失以及利用計算機網(wǎng)絡實施的各種犯罪行為，人們已不再陌生，并且這樣的事件好像經(jīng)常在我們身邊發(fā)生。

這幾個案例僅僅是冰山一角，打開電視、翻翻報紙、瀏覽一下互聯(lián)網(wǎng)，類似這樣的事件幾乎每天都在發(fā)生。從這些案例可以看出，信息資產(chǎn)一旦遭到破壞，將給組織帶來直接的經(jīng)濟損失、損害組織的聲譽和公眾形象，使組織喪失市場機會和競爭力，更為甚者，會威脅到組織的生存。

長久以來，很多人自覺不自覺地都會陷入技術決定一切的誤區(qū)當中，尤其是那些出身信息技術行業(yè)的管理者和操作者。最早的時候，人們把信息安全的希望寄托在加密技術上面，認為一經(jīng)加密，什么安全問題都可以解決。隨著互連網(wǎng)絡的發(fā)展，一段時期我們又常聽到"防火墻決定一切"的論調(diào)。及至更多安全問題的涌現(xiàn)，入侵檢測、PKI、VPN 等新的技術應用被接二連三地提了出來，但無論怎么變化，還是離不開技術統(tǒng)領信息安全的路子。可這樣的思路能夠真正解決安全問題嗎？也許可以解決一部分，但卻解決不了根本。實際上，對安全技術和產(chǎn)品的選擇運用，這只是信息安全實踐活動中的一部分，只是實現(xiàn)安全需求的手段而已。信息安全更廣泛的內(nèi)容，還包括制定完備的安全策略，通過風險評估來確定需求，根據(jù)需求選擇安全技術和產(chǎn)品，并按照既定的安全策略和流程規(guī)范來實施、維護和審查安全控制措施。歸根到底，信息安全并不是技術過程，而是管理過程。

之所以有這樣的認識誤區(qū)，原因是多方面的，從安全產(chǎn)品提供商的角度來看，既然側(cè)重在于產(chǎn)品銷售，自然從始至終向客戶灌輸?shù)亩际且约夹g和產(chǎn)品為核心的理念。而從客戶角度來看，只有產(chǎn)品是有形的，是看得見摸得著的，對決策投資來說，這是至關重要的一點，而信息安全的其他方面，比如無形的管理過程，自然是遭致忽略。

正是因為有這樣的錯誤認識，我們就經(jīng)?？吹剑涸S多組織使用了防火墻、IDS、安全掃描等設備，但卻沒有制定一套以安全策略為核心的管理措施，致使安全技術和產(chǎn)品的運用非常混亂，不能做到長期有效和更新。即使組織制定有安全策略，卻沒有通過有效的實施和監(jiān)督機制去執(zhí)行，使得策略空有其文成了擺設而未見效果。

實際上對待技術和管理的關系應該有充分理性的認識：技術是實現(xiàn)安全目標的手段，管理是選擇、實施、使用、維護、審查包括技術措施在內(nèi)的安全手段的整個過程，是實現(xiàn)信息安全目標的必由之路。

在現(xiàn)實的信息安全管理決策當中，必須關注以下幾點：

應該制定信息安全方針和多層次的安全策略，以便為各項信息安全管理活動提供指引和支持；

應該通過風險評估來充分發(fā)掘組織真實的信息安全需求；

應該遵循預防為主的理念；

應該加強人員安全意識和教育；

管理層應該足夠重視并提供切實有效的支持；

應該持有動態(tài)管理、持續(xù)改進的思想；

應該以業(yè)務持續(xù)發(fā)展為目標，達成信息安全控制的力度、使用的便利性以及成本投入之間的平衡。

因此，保護信息資產(chǎn)，解決信息安全問題，已經(jīng)成為組織必須考慮的問題。信息安全問題出現(xiàn)的初期，人們主要依靠信息安全的技術和產(chǎn)品來解決信息安全問題。技 術和產(chǎn)品的應用，一定程度上解決了部分信息安全問題。但是人們發(fā)現(xiàn)僅僅靠這些產(chǎn)品和技術還不夠，即使采購和使用了足夠先進、足夠多的信息安全產(chǎn)品，如防病 毒、防火墻、入侵檢測、隱患掃描等，仍然無法避免一些信息安全事件的發(fā)生，組織安裝的許多安全產(chǎn)品成了“聾子的耳朵”。與組織中人員相關的信息安全問題， 信息安全成本和效益的平衡問題，信息安全目標、業(yè)務連續(xù)性、信息安全相關法規(guī)符合性等問題，依靠產(chǎn)品和技術是解決不了的。

人們開始逐漸意識到管理在解決信 息安全問題中的作用。于是ISMS應運而生。2000年12月，國際標準化組織發(fā)布一個信息安全管理的標準－ISO/IEC 17799:2000“信息安全管理實用規(guī)則（Code of practice for information security management）”，2005年6月，國際標準化組織對該標準進行了修訂，頒布了ISO/IEC17799:2005（現(xiàn)已更名為ISO /IEC27002:2005），10月，又發(fā)布了ISO/IEC27001:2005“信息安全管理體系要求（Information Security Management System Requirement）”。自此，ISMS在國際上確立并發(fā)展起來。今天，ISMS已經(jīng)成為信息安全領域的一個熱門話題。

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構(gòu)，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202008/ccaa_5592.html