信息安全ISO27001

信息安全 (Information security): 是指信息的保密性 (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。

保密性：為保障信息僅僅為那些被授權(quán)使用的人獲取。

信息的保密性是針對信息被允許訪問（ Access ）對象的多少而不同，所有人員都可以訪問的信息為公開信息，需要限制訪問的信息一般為敏感信息或秘密，秘密可以根據(jù)信息的重要性及保密要求分為不同的密級，例如國家根據(jù)秘密泄露對國家經(jīng)濟(jì)、安全利益產(chǎn)生的影響（后果）不同，將國家秘密分為秘密、機(jī)密和絕密三個等級，組織可根據(jù)其信息安全的實(shí)際，在符合《國家保密法》的前提下將其信息劃分為不同的密級；對于具體的信息的保密性有時效性，如秘密到期解密等。

完整性：為保護(hù)信息及其處理方法的準(zhǔn)確性和完整性。
信息完整性一方面是指信息在利用、傳輸、貯存等過程中不被篡改、丟失、缺損等，另一方面是指信息處理的方法的正確性。不正當(dāng)?shù)牟僮?，如誤刪除文件，有可能造成重要文件的丟失。

可用性：為保障授權(quán)使用人在需要時可以獲取信息和使用相關(guān)的資產(chǎn)。

信息的可用性是指信息及相關(guān)的信息資產(chǎn)在授權(quán)人需要的時候，可以立即獲得。例如通信線路中斷故障會造成信息的在一段時間內(nèi)不可用，影響正常的商業(yè)運(yùn)作，這是信息可用性的破壞。不同類型的信息及相應(yīng)資產(chǎn)的信息安全在保密性、完整性及可用性方面關(guān)注點(diǎn)不同，如組織的專有技術(shù)、市場營銷計(jì)劃等商業(yè)秘密對組織來講保守機(jī)密尤其重要；而對于工業(yè)自動控制系統(tǒng)，控制信息的完整性相對其保密性重要得多。

為什么需要信息安全？

信息、信息處理過程及對信息起支持作用的信息系統(tǒng)和信息網(wǎng)絡(luò)都是重要的商務(wù)資產(chǎn)。信息的保密性、完整性和可用性對保持競爭優(yōu)勢、資金流動、效益、法律符合性和商業(yè)形象都是至關(guān)重要的。然而，越來越多的組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨著包括計(jì)算機(jī)詐騙、間諜、蓄意破壞、火災(zāi)、水災(zāi)等大范圍的安全威脅，諸如計(jì)算機(jī)病毒、計(jì)算機(jī)入侵、 Dos 攻擊等手段造成的信息災(zāi)難已變得更加普遍 , 有計(jì)劃而不易被察覺。組織對信息系統(tǒng)和信息服務(wù)的依賴意味著更易受到安全威脅的破壞，公共和私人網(wǎng)絡(luò)的互連及信息資源的共享增大了實(shí)現(xiàn)訪問控制的難度。許多信息系統(tǒng)本身就不是按照安全系統(tǒng)的要求來設(shè)計(jì)的，所以僅依靠技術(shù)手段來實(shí)現(xiàn)信息安全有其局限性，所以信息安全的實(shí)現(xiàn)必須得到管理和程序控制的適當(dāng)支持。確定應(yīng)采取哪些控制方式則需要周密計(jì)劃，并注意細(xì)節(jié)。信息安全管理至少需要組織中的所有雇員的參與，此外還需要供應(yīng)商、顧客或股東的參與和信息安全的專家建議。在信息系統(tǒng)設(shè)計(jì)階段就將安全要求和控制一體化考慮，則成本會更低、效率會更高。

建立信息安全管理體系的作用：

任何組織，不論它在信息技術(shù)方面如何努力以及采納如何新的信息安全技術(shù)，實(shí)際上在信息安全管理方面都還存在漏洞，例如：

缺少信息安全管理論壇，安全導(dǎo)向不明確，管理支持不明顯；

缺少跨部門的信息安全協(xié)調(diào)機(jī)制；

保護(hù)特定資產(chǎn)以及完成特定安全過程的職責(zé)還不明確；

雇員信息安全意識薄弱，缺少防范意識，外來人員很容易直接進(jìn)入生產(chǎn)和工作場所；

組織信息系統(tǒng)管理制度不夠健全；

組織信息系統(tǒng)主機(jī)房安全存在隱患，如：防火設(shè)施存在問題，與危險(xiǎn)品倉庫同處一幢辦公樓等；

組織信息系統(tǒng)備份設(shè)備仍有欠缺；

組織信息系統(tǒng)安全防范技術(shù)投入欠缺；

軟件知識產(chǎn)權(quán)保護(hù)欠缺；

計(jì)算機(jī)房、辦公場所等物理防范措施欠缺；

檔案、記錄等缺少可靠貯存場所；

缺少一旦發(fā)生意外時的保證生產(chǎn)經(jīng)營連續(xù)性的措施和計(jì)劃；

……等等。

其實(shí)，組織可以參照信息安全管理模型，按照先進(jìn)的信息安全管理標(biāo)準(zhǔn) BS7799 標(biāo)準(zhǔn)建立組織完整的信息安全管理體系并實(shí)施與保持，達(dá)到動態(tài)的、系統(tǒng)的、全員參與、制度化的、以預(yù)防為主的信息安全管理方式，用最低的成本，達(dá)到可接受的信息安全水平，就可以從根本上保證業(yè)務(wù)的連續(xù)性。組織建立、實(shí)施與保持信息安全管理體系將會產(chǎn)生如下作用：
強(qiáng)化員工的信息安全意識，規(guī)范組織信息安全行為；
對組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競爭優(yōu)勢；
在信息系統(tǒng)受到侵襲時，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；
使組織的生意伙伴和客戶對組織充滿信心；
如果通過體系認(rèn)證，表明體系符合標(biāo)準(zhǔn)，證明組織有能力保障重要信息，提高組織的知名度與信任度；
促使管理層堅(jiān)持貫徹信息安全保障體系。

信息安全認(rèn)證是實(shí)現(xiàn)信息安全目標(biāo)的最佳途徑：

ISO27001：2005 《信息安全管理體系要求》

ISO27001 ： 2005 《信息安全管理體系要求》是關(guān)于信息安全管理的標(biāo)準(zhǔn)，是標(biāo)準(zhǔn)不是方法，達(dá)到這些標(biāo)準(zhǔn)的要求并不難，重要的是用什么方法去實(shí)現(xiàn)。企業(yè)應(yīng)將實(shí)施標(biāo)準(zhǔn)作為全面改善內(nèi)部管理的一次機(jī)會，不應(yīng)該將標(biāo)準(zhǔn)做為一種簡單的模式對現(xiàn)有流程運(yùn)作進(jìn)行套用，應(yīng)對現(xiàn)有的組織運(yùn)作流程進(jìn)行詳細(xì)分析，有針對性地設(shè)計(jì)并改善現(xiàn)有管理體系、改善薄弱環(huán)節(jié)、改善運(yùn)作流程及內(nèi)部溝通，并有效地將先進(jìn)的管理思想融合到具體的實(shí)施程序中，才能發(fā)揮標(biāo)準(zhǔn)的真正作用。

獲得認(rèn)證證書不是最終目的，建立有責(zé)、有序、有效、高效的信息安全管理體系，提高員工的信息安全意識，不斷獲取并運(yùn)用先進(jìn)的管理方法和技術(shù)手段才能使企業(yè)的信息安全管理水平得以持續(xù)的發(fā)展和提升。

今天通過對《信息安全I(xiàn)SO27001》的學(xué)習(xí)，相信你對認(rèn)證有更好的認(rèn)識。如果要辦理相關(guān)認(rèn)證，請聯(lián)系我們吧。

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202011/ccaa_13290.html