您的當前位置: 首頁 >> ISO27001 信息安全管理體系
添加時間:2015-03-02 10:28:16
人類正進入信息化社會,社會發展對信息資源的依賴程度越來越大,從人們日常生活、組織運作到國家管理,信息資源都是不可或缺的重要資源,沒有各種信息的支持,現代社會將不能生存和發展。在信息社會中,一方面信息已成為人類重要資產,在政治、經濟、軍事、教育、科技、生活等方面發揮著重要作用,另一方面計算機技術的迅猛發展而帶來的信息安全問題正變得日益突出。由于信息具有易傳播、易擴散、易毀損的特點,信息資產的比傳統的實物資產更加脆弱,更容易受到損害,使組織在業務運作過程中面臨大量的風險。其風險主要來源于組織管理、信息系統、信息基礎設施等方面的固有薄弱環節,以及大量存在于組織內、外的各種威脅,因此對信息系統需要加以嚴格管理和妥善保護。
信息可以理解為消息、情報、數據或知識,它可以以多種形式存在,可以是組織中信息設施中存儲與處理的數據、程序,可以是打印出來的或寫出來的論文、電子郵件、設計圖紙、業務方案,也可以顯示在膠片上或表達在會話中消息。所有的組織都有他們各自處理信息的形式,例如,銀行、保險和信用卡公司都需要處理消費者信息,衛生保健部門需要管理病人信息,政府管理部門存儲機密的和分類信息。無論組織對這些信息采用什么樣的共享、處理和存儲方式,都需要對敏感信息加以安全、妥善的保護,不僅要保證信息處理和傳輸過程是可靠的、有效的,而且要求重要的敏感信息是機密的、完整的和真實的。為達到這樣的目標,組織必須采取一系列適當的信息安全控制措施才可以使信息避免一系列威脅,保障業務的連續性,最大限度地減少業務的損失,最大限度地獲取投資回報。
在ISO27002中,對信息的定義更確切、具體:“信息是一種資產,像其他重要的業務資產一樣,對組織具有價值,因此需要妥善保護”。通過風險評估與控制,不但能確保企業持續營運,還能減少企業在面對類似‘911事件’之時出現的危機。
ISO/IEC27001標準是組織進行信息安全管理體系認證的依據,相當于質量管理體系中的ISO9001標準。ISO/IEC27006:2007標準是認證機構獲取認證認可的依據。 ISO/IEC27002標準為組織建立信息安全管理體系提供了39個控制目標和133個控制措施。其他幾個標準提供了信息安全管理體系建立、實施的參考指南。
電話:010-80888836 手機: 18211163602
版權所有:北京中鑫標科技有限公司 ICP備案號:京ICP備2021012723號