信息是经过分析、共享和理解的数据或者资料。信息同时也是一种资产,就如同其它的商业资产一样,对一个组织而言是具有价值的,因而需要妥善保护。
信息安全是防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制。即确保信息的完整性、保密性、可用性和可控性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。本质上是充分保护本组织信息资产并给予相关方信心。
信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合.
ISO27000是信息安全管理体系(ISMS)的规范标准,是为组织机构提供信息安全认证执行的认证标准,详细说明了建立、实施和维护信息安全管理体系的要求。
信息安全管理体系的三大要素
保密性:确保只有经过授权的人才能存取信息。
完整性:维护提供使用的信息为正确与完整的,未受破坏或篡改。
可用性:确保经过授权的用户在需要时可以存取信息并使用相关信息
信息安全管理体系的主要关注焦点
1)以信息安全风险为关注焦点;
2)以重要资产为关注焦点;
3)以组织部门的职责要求为关注焦点;
4)以信息系统为关注焦点。
实施信息安全管理体系的重要性
·符合法律法规要求: 证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。
·维护企业的声誉、品牌和客户信任: 证书的获得,可以向合作伙伴、股东和客户表明组织为保护信息而付出的努力,令其对组织的信心将得到加强。同样的,证书的获得,有助于确定组织在同行业内的竞争优势,提升其市场地位。事实上,现在很多国际性的投标项目已经开始要求ISO27001的符合性了。
·履行信息安全管理责任: 证书的获得,本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。
·增强员工的意识、责任感和相关技能: 证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。
·保持业务持续发展和竞争优势: 全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。
·实现风险管理: 有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。
·减少损失,降低成本: ISMS的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到最低程度。
信息及其支持过程的系统和网络都是组织的重要资产。信息的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。
任何组织及其信息系统(如组织的ERP系统)和网络都可能面临着包括计算机辅助欺诈、刺探等破坏行为、火灾、水灾等大范围的安全威胁。随着计算机的日益发展和普及,计算机病毒、计算机服务器的非法入侵破坏已变得日益普遍和错综复杂。
有些组织的信息系统尽管在涉及时可能已考虑了安全,但仅仅依靠技术手段实现安全仍然是有限的,还应当通过管理和程序来支持。
组织可以参照信息安全管理模型,按照先进的信息安全管理标准——ISO27001标准建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,使信息风险的发生概率和结果降低到可接受水平,并采取措施保证业务不会因风险的发生而中断。
组织建立,实施与保持信息安全管理体系会:
1)强化员工的信息安全意识,规范组织信息安全行为
2)对组织的关键信息资产进行全面系统的保护,维持竞争优势
3)在信息体系受到侵袭时,确保业务持续开展并将损失降到最低程度
4)使组织的生意伙伴和客户对组织充满信心
