信息是經過分析、共享和理解的數據或者資料。信息同時也是一種資產,就如同其它的商業資產一樣,對一個組織而言是具有價值的,因而需要妥善保護。
信息安全是防止信息財產被故意的或偶然的非授權泄露、更改、破壞或使信息被非法的系統辨識、控制。即確保信息的完整性、保密性、可用性和可控性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損于合法用戶的行為。本質上是充分保護本組織信息資產并給予相關方信心。
信息安全管理體系是組織在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。它是直接管理活動的結果,表示成方針、原則、目標、方法、過程、核查表(Checklists)等要素的集合.
ISO27000是信息安全管理體系(ISMS)的規范標準,是為組織機構提供信息安全認證執行的認證標準,詳細說明了建立、實施和維護信息安全管理體系的要求。
信息安全管理體系的三大要素
保密性:確保只有經過授權的人才能存取信息。
完整性:維護提供使用的信息為正確與完整的,未受破壞或篡改。
可用性:確保經過授權的用戶在需要時可以存取信息并使用相關信息
信息安全管理體系的主要關注焦點
1)以信息安全風險為關注焦點;
2)以重要資產為關注焦點;
3)以組織部門的職責要求為關注焦點;
4)以信息系統為關注焦點。
實施信息安全管理體系的重要性
·符合法律法規要求: 證書的獲得,可以向權威機構表明,組織遵守了所有適用的法律法規。從而保護企業和相關方的信息系統安全、知識產權、商業秘密等。
·維護企業的聲譽、品牌和客戶信任: 證書的獲得,可以向合作伙伴、股東和客戶表明組織為保護信息而付出的努力,令其對組織的信心將得到加強。同樣的,證書的獲得,有助于確定組織在同行業內的競爭優勢,提升其市場地位。事實上,現在很多國際性的投標項目已經開始要求ISO27001的符合性了。
·履行信息安全管理責任: 證書的獲得,本身就能證明組織在各個層面的安全保護上都付出了卓有成效的努力,表明管理層履行了相關責任。
·增強員工的意識、責任感和相關技能: 證書的獲得,可以強化員工的信息安全意識,規范組織信息安全行為,減少人為原因造成的不必要的損失。
·保持業務持續發展和競爭優勢: 全面的信息安全管理體系的建立,意味著組織核心業務所賴以持續的各項信息資產得到了妥善保護,并且建立有效的業務持續性計劃框架,提升了組織的核心競爭力。
·實現風險管理: 有助于更好地了解信息系統,并找到存在的問題以及保護的辦法,保證組織自身的信息資產能夠在一個合理而完整的框架下得到妥善保護,確保信息環境有序而穩定地運作。
·減少損失,降低成本: ISMS的實施,能降低因為潛在安全事件發生而給組織帶來的損失,在信息系統受到侵襲時,能確保業務持續開展并將損失降到最低程度。
信息及其支持過程的系統和網絡都是組織的重要資產。信息的機密性、完整性和可用性對保持一個組織的競爭優勢、資金流動、效益、法律符合性和商務形象都是至關重要的。
任何組織及其信息系統(如組織的ERP系統)和網絡都可能面臨著包括計算機輔助欺詐、刺探等破壞行為、火災、水災等大范圍的安全威脅。隨著計算機的日益發展和普及,計算機病毒、計算機服務器的非法入侵破壞已變得日益普遍和錯綜復雜。
有些組織的信息系統盡管在涉及時可能已考慮了安全,但僅僅依靠技術手段實現安全仍然是有限的,還應當通過管理和程序來支持。
組織可以參照信息安全管理模型,按照先進的信息安全管理標準——ISO27001標準建立組織完整的信息安全管理體系并實施與保持,達到動態的、系統的、全員參與、制度化的、以預防為主的信息安全管理方式,用最低的成本,使信息風險的發生概率和結果降低到可接受水平,并采取措施保證業務不會因風險的發生而中斷。
組織建立,實施與保持信息安全管理體系會:
1)強化員工的信息安全意識,規范組織信息安全行為
2)對組織的關鍵信息資產進行全面系統的保護,維持競爭優勢
3)在信息體系受到侵襲時,確保業務持續開展并將損失降到最低程度
4)使組織的生意伙伴和客戶對組織充滿信心
