干貨|構(gòu)建ISO27001信息安全管理體系的重大意義
干貨|構(gòu)建ISO27001信息安全管理體系的重大意義
在計算機技術(shù)進入高速發(fā)展之后,網(wǎng)絡(luò)技術(shù)得到全方位的應(yīng)用����,隨之而來的信息安全問題,逐漸得到社會各界的關(guān)注��。信息安全不僅在通訊和數(shù)據(jù)領(lǐng)域得到了十足的發(fā)展��,更在計算機安全�����、通訊安全和網(wǎng)絡(luò)安全等方面涉及廣泛���。通過IS027001信息安全管理體系����,建立符合現(xiàn)代企業(yè)業(yè)務(wù)及管理的信息安全體系。完善信息化建設(shè)����,削減安全漏洞,對企業(yè)長遠發(fā)展具有重大意義����。
1、IS027001信息安全管理體系的起源及發(fā)展簡述
在近些年一系列信息安全問題被媒體曝光之后�����,各行各業(yè)均加大了對信息安全的擔憂���。IS027001標準于1993年由英國貿(mào)易工業(yè)部立項���,在1995首次出版了BS7799-1:1995((信息安全管理實施細則》,該細則提供了一套完整的�����、由信息安全慣例所構(gòu)建的信息安全管理體系�。其目的是為了確定工商業(yè)信息系統(tǒng)在絕大部分情況下的所需控制范圍具有統(tǒng)一的參考標準,并且能夠適用于不同規(guī)模的組織��。到2000年2月,BS 7799-1:t999《信息安全管理實施細貝4》通過了國際標準化組織ISO的認可��。到2002年9月��,BS 7799—2:2002草案經(jīng)過廣泛討論之后��,正式進行發(fā)表成為了國際通用標準�����,同時廢止了之前一版細則��。在隨后的幾年內(nèi)����,該標準進行了多次修正��,在組織編排和內(nèi)容完整性上都有了大幅提高���。到目前為止���,IS027001標準已經(jīng)獲得了大量的國家認可,是全球范圍內(nèi)最具代表性的信息安全管理體系����。
2 �����、IS027001信息安全管理體系的好處
(1)可以有效地對信息資源形成保護�,促使信息化進程有序健康可持續(xù)地發(fā)展���。IS027001是信息安全管理領(lǐng)域的標準體系����,類似于質(zhì)量管理體系認證IS09000標準����。
(2)當企業(yè)通過IS027001的認證,就等同于企業(yè)的信息安全管理是科學合理的����,能夠切實有效地保護客戶信息資料和企業(yè)內(nèi)部信息資料。在通過IS027001信息安全管理體系認證之后����,可以具有多個方面的好處或優(yōu)勢。引入信息安全管理體系后可以協(xié)調(diào)各個層面的信息管理��,簡化管理環(huán)節(jié)提高管理效率。
(3)通過IS027001信息安全管理體系認證�,還可以增加企業(yè)之間電子商務(wù)往來的信用度,能夠在網(wǎng)站和貿(mào)易伙伴之間建立起信任的合作關(guān)系����,加深企業(yè)商務(wù)信息化發(fā)展��。
(4)通過IS027001信息安全管理體系認證��,可以促使相關(guān)企業(yè)實現(xiàn)信息安全承諾����,消除客戶及員工存有的不信任感,改善企業(yè)業(yè)績���。不僅如此����,甚至還可以獲得國際認可����,以便于業(yè)務(wù)向海外拓展。
3�、信息安全的現(xiàn)狀
目前�����,市面上大多數(shù)企業(yè)都已經(jīng)構(gòu)建了適用的信息系統(tǒng)�����,主要包括了ERP系統(tǒng)���、CIM系統(tǒng)、OA系統(tǒng)����、PLM系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)��、電子郵件系統(tǒng)以及企業(yè)網(wǎng)站等���。在用戶使用這些系統(tǒng)時��,會遭遇相應(yīng)的信息安全問題��,比如存在于外網(wǎng)中的黑客攻擊和病毒傳染等��,存在于內(nèi)網(wǎng)中的病毒感染和信息泄露等問題����。在一系列主流企業(yè)中,其計算機多采用分散管理����,使用者對計算機具有很高的使用權(quán)限,經(jīng)常會因為一些違規(guī)操作或誤操作��,給系統(tǒng)造成嚴重影響���,給企業(yè)信息安全形成沖擊。同時�����,由于計算機管理具有局限性�����,可能存在部分人員非法拆卸相關(guān)硬件���,不僅造成企業(yè)經(jīng)濟損失����,更會造成信息資源外泄??偟膩碚f,大多數(shù)企業(yè)對涉及知識產(chǎn)權(quán)����、客戶資料和企業(yè)資料等信息安全管理的工作并不到位,許多都是徒有其表�����,無法切實保證信息安全���。
4����、信息安全的問題簡述
通過對一些企業(yè)實際調(diào)研就能發(fā)現(xiàn)���,雖然企業(yè)構(gòu)架了基礎(chǔ)的網(wǎng)絡(luò)系統(tǒng)���,并且對上網(wǎng)行為進行了控制,但是仍然存在不少的問題����。比如缺少有效的信息安全管理技術(shù)支持��、缺少對信息安全管理相關(guān)事例的學習研究和缺少明確的控制管理規(guī)章制度等��?��?偟膩碚f,信息安全問題可以分為以下幾類:一是缺乏信息安全制度�,沒有可以保證企業(yè)信息安全、推進信息安全建設(shè)和約束相關(guān)人員的具體制度���;二是相關(guān)人員信息安全意識薄弱�����,在日常工作中缺少對企業(yè)信息安全的保護;三是信息泄露途徑較多�����,各種外聯(lián)設(shè)備或軟件���,都可能引發(fā)信息泄露���;四是信息安全技術(shù)缺乏�����,企業(yè)內(nèi)部的信息安全管理多是通過文字條款在進行約束��,缺少技術(shù)層面的規(guī)范���。
5、信息安全的總體需求分析
就目前我國企業(yè)的實際發(fā)展情況來看�,需要參考信息安全的現(xiàn)狀及存在問題,提出企業(yè)自身的信息安全需求�。
總的來說,信息安全需求可以分為以下幾點:
一是保護企業(yè)信息不遭受各種破壞���,從企業(yè)內(nèi)部和外部逐一排除可能存在的潛在威脅��;
二是確保公司業(yè)務(wù)正常進行���,不會被意外情況打斷;
三是最小化企業(yè)風險����,嚴控商業(yè)機密�,避免商業(yè)機密泄露給企業(yè)帶來毀滅性打擊��;
四是最大化企業(yè)投資回報比����,通過信息管理維持企業(yè)的可持續(xù)發(fā)展。
6����、構(gòu)建IS027001信息安全管理體系的意義分析
信息安全管理體系從實質(zhì)上來說,是一種信息安全管理模式����,其目的是為了提高企業(yè)的管理水平,促進企業(yè)良性發(fā)展��,保證企業(yè)各種信息資源的安全�����,不被外界竊取給企業(yè)造成負面影響�。信息安全管理體系借助諸多標準�,其主要參考就是IS027001信息安全管理標準,通過參考該標準實現(xiàn)企業(yè)信息安全管理規(guī)范有序���,使企業(yè)信息安全管理向科學合理的方向發(fā)展���。信息安全管理是伴隨信息技術(shù)發(fā)展而發(fā)展的����,在信息社會中���,信息資源已經(jīng)成為一種十足珍貴的資源����,具有極高的經(jīng)濟價值����。
在信息安全問題El益突出的現(xiàn)實背景下,加強信息安全管理體系的構(gòu)建�����,具有極其重要的現(xiàn)實作用及未來意義�。在IS027001信息安全標準下,開發(fā)先進的技術(shù)�,仔細評估信息安全風險,構(gòu)建符合企業(yè)現(xiàn)階段情況與未來發(fā)展的信息安全管理體系����。
宏展科技啟動ISO27001信息安全管理體系認證 (labcompanion.cn)