ISO27000認(rèn)證系列標(biāo)準(zhǔn)相關(guān)知識

ISO27000認(rèn)證系列標(biāo)準(zhǔn)相關(guān)知識：

信息是組織的血液，存在的方式各異?？梢允谴蛴?，手寫，也可以是電子，演示和口述的。當(dāng)今商業(yè)競爭日趨激烈，來源于不同渠道的信息，威脅到信息的一致性。它們來自內(nèi)部，外部，意外的，還可能是惡意的。隨著信息儲存，發(fā)送新技術(shù)的廣泛使用，我們面臨的各種風(fēng)險也在增高。信息安全越來越重要！

信息安全不是有一個終端防火墻，或找一個24小時提供信息安全服務(wù)的公司就可以達(dá)到的。它需要全面的綜合管理。信息安全管理體系的引入，可以協(xié)調(diào)各個方面信息管理，使管理更為有效。信息安全管理體系是系統(tǒng)的對組織敏感信息及信息資產(chǎn)進(jìn)行管理，涉及到人，程序和信息科技(IT)系統(tǒng)。需要建立廣泛的信息安全方針。保證安全性，公正性。適用組織內(nèi)部和客戶。信息安全管理體系ISMS正成為世界上管理體系標(biāo)準(zhǔn)銷售增長量最大的產(chǎn)品。

信息安全管理體系（Informationsecuritymanagementsystems，簡稱ISMS）（即ISO/IEC27000系列）是目前國際信息安全管理標(biāo)準(zhǔn)研究的重點(diǎn)。

ISO27000系列共包括10個標(biāo)準(zhǔn)，當(dāng)前已經(jīng)發(fā)布和在研究的有6個，分別為：

1、ISO/IEC27000《信息安全管理體系基礎(chǔ)和詞匯》；

2、ISO/IEC27001：2005《信息安全管理體系要求》；

3、ISO/IEC17799：2005《信息安全管理實(shí)用規(guī)則》（2007年4月后，編號將改為27002）；

4、ISO/IEC27003《信息安全管理體系實(shí)施指南》；

5、ISO/IEC27004《信息安全管理測量》；

6、ISO/IEC27005《信息安全風(fēng)險管理》。

一、什么是信息安全？像其他重要業(yè)務(wù)資產(chǎn)一樣，信息也是對組織業(yè)務(wù)至關(guān)重要的一種資產(chǎn)，因此需要加以適當(dāng)?shù)乇Ｗo(hù)。在業(yè)務(wù)環(huán)境互連日益增加的情況下這一點(diǎn)顯得尤為重要。這種互連性的增加導(dǎo)致信息暴露于日益增多的、范圍越來越廣的威脅和脆弱性當(dāng)中（也可參考關(guān)于信息系統(tǒng)和網(wǎng)絡(luò)的安全的OECD指南）。信息可以以多種形式存在。它可以打印或?qū)懺诩埳?、以電子方式存儲、用郵寄或電子手段傳送、呈現(xiàn)在膠片上或用語言表達(dá)。無論信息以什么形式存在，用哪種方法存儲或共享，都應(yīng)對它進(jìn)行適當(dāng)?shù)乇Ｗo(hù)。信息安全是保護(hù)信息免受各種威脅的損害，以確保業(yè)務(wù)連續(xù)性，業(yè)務(wù)風(fēng)險最小化，投資回報和商業(yè)機(jī)遇最大化。信息安全是通過實(shí)施一組合適的控制措施而達(dá)到的，包括策略、過程、規(guī)程、組織結(jié)構(gòu)以及軟件和硬件功能。在需要時需建立、實(shí)施、監(jiān)視、評審和改進(jìn)這些控制措施，以確保滿足該組織的特定安全和業(yè)務(wù)目標(biāo)。這個過程應(yīng)與其他業(yè)務(wù)管理過程聯(lián)合進(jìn)行。

二、為什么需要信息安全？信息及其支持過程、系統(tǒng)和網(wǎng)絡(luò)都是重要的業(yè)務(wù)資產(chǎn)。定義、實(shí)現(xiàn)、保持和改進(jìn)信息安全對保持競爭優(yōu)勢、現(xiàn)金周轉(zhuǎn)、贏利、守法和商業(yè)形象可能是至關(guān)重要的。各組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨來自各個方面的安全威脅，包括計(jì)算機(jī)輔助欺詐、間諜活動、惡意破壞、毀壞行為、火災(zāi)或洪水。諸如惡意代碼、計(jì)算機(jī)黑客搗亂和拒絕服務(wù)攻擊等導(dǎo)致破壞的安全威脅，已經(jīng)變得更加普遍、更有野心和日益復(fù)雜。信息安全對于公共和專用兩部分的業(yè)務(wù)以及保護(hù)關(guān)鍵基礎(chǔ)設(shè)施是非常重要的。在這兩部分中信息安全都將作為一個使動者，例如實(shí)現(xiàn)電子政務(wù)或電子商務(wù)，避免或減少相關(guān)風(fēng)險。公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)的互連、信息資源的共享都增加了實(shí)現(xiàn)訪問控制的難度。分布式計(jì)算的趨勢也削弱了集中的、專門控制的有效性。許多信息系統(tǒng)并沒有被設(shè)計(jì)成是安全的。通過技術(shù)手段可獲得的安全性是有限的，應(yīng)該通過適當(dāng)?shù)墓芾砗鸵?guī)程給予支持。確定哪些控制措施要實(shí)施到位需要仔細(xì)規(guī)劃并注意細(xì)節(jié)。信息安全管理至少需要該組織內(nèi)的所有員工參與，還可能要求利益相關(guān)人、供應(yīng)商、第三方、顧客或其他外部團(tuán)體的參與。外部組織的顧問、專家建議可能也是需要的。

三、如何建立安全要求組織識別出其安全要求是非常重要的，安全要求有三個主要來源：

1、一個來源是在考慮組織整體業(yè)務(wù)戰(zhàn)略和目標(biāo)的情況下，評估該組織的風(fēng)險所獲得的。通過風(fēng)險評估，識別資產(chǎn)受到的威脅，評價易受威脅利用的脆弱性和威脅發(fā)生的可能性，估計(jì)潛在的影響。

2、另一個來源是組織、貿(mào)易伙伴、合同方和服務(wù)提供者必須滿足的法律、法規(guī)、規(guī)章和合同要求，以及他們的社會文化環(huán)境。

3、第三個來源是組織開發(fā)的支持其運(yùn)行的信息處理的原則、目標(biāo)和業(yè)務(wù)要求的特定集合。

四、評估安全風(fēng)險安全要求是通過對安全風(fēng)險的系統(tǒng)評估予以識別的。用于控制措施的支出需要針對可能由安全故障導(dǎo)致的業(yè)務(wù)損害加以平衡。風(fēng)險評估的結(jié)果將幫助指導(dǎo)和決定適當(dāng)?shù)墓芾硇袆?、管理信息安全風(fēng)險的優(yōu)先級以及實(shí)現(xiàn)所選擇的用以防范這些風(fēng)險的控制措施。風(fēng)險評估應(yīng)定期進(jìn)行，以應(yīng)對可能影響風(fēng)險評估結(jié)果的任何變化。

五、選擇控制措施一旦安全要求和風(fēng)險已被識別并已做出風(fēng)險處理決定，則應(yīng)選擇并實(shí)現(xiàn)合適的控制措施，以確保風(fēng)險降低到可接受的級別?？刂拼胧┛梢詮摹缎畔踩芾磉m用規(guī)則》或其他控制措施集合中選擇，或者當(dāng)合適時設(shè)計(jì)新的控制措施以滿足特定需求。安全控制措施的選擇依賴于組織所做出的決定，該決定是基于組織所應(yīng)用的風(fēng)險接受準(zhǔn)則、風(fēng)險處理選項(xiàng)和通用的風(fēng)險管理方法，同時還要遵守所有相關(guān)的國家和國際法律法規(guī)。《信息安全管理適用規(guī)則》中的某些控制措施可被當(dāng)作信息安全管理的指導(dǎo)原則，并且可用于大多數(shù)組織。

六、信息安全起點(diǎn)，許多控制措施被認(rèn)為是實(shí)現(xiàn)信息安全的良好起點(diǎn)。它們或者是基于重要的法律要求，或者被認(rèn)為是信息安全的常用慣例。從法律的觀點(diǎn)看，根據(jù)適用的法律

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202104/ccaa_20679.html