您的當前位置: 首頁 >> ISO27001 信息安全管理體系
添加時間:2015-03-02 10:28:16
網絡技術的發展加速了信息的傳輸和處理,縮短了人們之間的時空距離,方便了交流;同時對信息安全提出了新的挑戰。據統計,全球平均20秒就發生一次計算機病毒入侵;互聯網上的防火墻大約25%被攻破;竊取商業信息的事件平均以每月260%的速度增加;約70%的網絡主管報告了因機密信息泄露而受損失。國與國之間的信息戰問題更是關系到國家的根本安全問題。
信息安全已擴展到了信息的可靠性、可用性、可控性、完整性及不可抵賴性等更新、更深層次的領域。這些領域內的相關技術和理論都是信息安全所要研究的領域。國際標準化組織(ISO)定義信息安全是“在技術上和管理上為數據處理系統建立的安全保護,保護計算機硬件、軟件和數據不因偶然和惡意的原因而遭到破壞、更改和泄露”。
信息安全一般包括實體安全、運行安全、信息安全和管理安全四個方面的內容。
實體安全是指保護計算機設備、網絡設施以及其他通訊與存儲介質免遭地震、水災、火災、有害氣體和其它環境事故(如電磁污染等)破壞的措施、過程。
運行安全是指為保障系統功能的安全實現,提供一套安全措施(如風險分析、審計跟蹤、備份與恢復、應急措施)來保護信息處理過程的安全。
信息安全是指防止信息資源的非授權泄露、更改、破壞,或使信息被非法系統辨識、控制和否認。即確保信息的完整性、機密性、可用性和可控性。
管理安全是指通過信息安全相關的法律法令和規章制度以及安全管理手段,確保系統安全生存和運營。
美國國家電信與信息系統安全委員會(NTISSC)主席、美國C3I負責人、前國防部副部長Latham D C認為,信息安全(INFOSEC)應包括以下六個方面:
l 通信安全(COMSEC)
l 計算機安全(COMPUSEC)
l 符合瞬時電磁脈沖輻射標準(TEMPEST)
l 傳輸安全(TRANSEC)
l 物理安全(Physical Security)
l 人員安全(Personnel Security)
綜上所述,信息安全的主要內容包括:機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、真實性(Authenticity)和有效性(Utility)。
在BS7799中 信息安全主要指信息的機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。即指通過采用計算機軟硬件技術、網絡技術、密鑰技術等安全技術和各種組織管理措施,來保護信息在其生命周期內的產生、傳輸、交換、處理和存儲的各個環節中,信息的機密性、完整性和可用性不被破壞。
機密性是指確保只有那些被授予特定權限的人才能夠訪問到信息。信息的機密性依據信息被允許訪問對象的多少而不同,所有人員都可以訪問的信息為公開信息,需要限制訪問的信息為敏感信息或秘密信息,根據信息的重要程度和保密要求將信息分為不同密級。例如,軍隊內部文件一般分為秘密、機密和絕密三個等級,已授權用戶根據所授予的操作權限可以對保密信息進行操作。有的用戶只可以讀取信息,有的用戶既可以進行讀操作有可以進行寫操作。
信息的完整性是指要保證信息和處理方法的正確性和完整性。信息完整性一方面是指在使用、傳輸、存儲信息的過程中不發生篡改信息、丟失信息、錯誤信息等現象;另一方面是指信息處理的方法的正確性,執行不正當的操作,有可能造成重要文件的丟失,甚至整個系統的癱瘓。
信息的可用性是指確保那些已被授權的用戶在他們需要的時候,確實可以訪問得到所需要信息。即信息及相關的信息資產在授權人需要的時候,可以立即獲得。例如,通信線路中斷故障、網絡的擁堵會造成信息在一段時間內不可用,影響正常的業務運營,這是信息可用性的破壞。提供信息的系統必須能適當地承受攻擊并在失敗時恢復。
另外還要保證信息的真實性和不可否認性,即組織之間或組織與合作伙伴間的商業交易和信息交換是可信賴的。
電話:010-80888836 手機: 18211163602
版權所有:北京中鑫標科技有限公司 ICP備案號:京ICP備2021012723號