ISO17799-27001标准简介.docVIP

第一讲 ISO 17799/27001 标准简介ISO 17799 /27001标准简介一、信息安全管理概况近年来，信息安全被破坏的现象非常普遍。政府及国家的机密网络被黑客轻而易举地进入，公司的机密信息出现在报纸上或被人在垃圾桶中发现，财务信息被公布在网站上让所有人浏览，银行的资产通过网络系统流向黑客贪婪的钱袋……象这样的例子不胜枚举，同时每一天我们都能得到来自世界的有关信息安全被破坏的报告。在信息及其处理设备高度发达的今天，所有的组织，无论其性质、大小、国营或私营，都依赖于信息而存在。 这些信息有的以纸面文件存在，有的用计算机软硬盘存储，甚至存贮在员工或工作人员的头脑里。不管您的组织是怎样的性质，您的组织一定会有别的组织非常感性趣的信息。这些信息可能是您的价格表，客户信息，调研信息，市场计划或商务战略，您可以试想一下您可以离开这些信息多长时间？如果您在谈判中的位置，标书底价，产品研究和发展计划或个人信息落入别有用心的人的手中，将对您的组织产生什么样的影响？有的组织直到为时已晚的时候才认识到信息安全被破坏造成的影响。您的组织也许看似安全，但信息可以从不同的渠道泄露。世界经济已意识到信息的力量、价值及保护信息的重要性。信息安全被破坏的报告正在与日俱增，这就是为什么ISO17799对于保护您的信息是如此重要。该标准提供了一个完整的切入、实施、维护和文件化组织内部的信息安全的框架。二、什么是ISO 17799/ 27001信息安全管理标准？ISO17799信息安全管理标准要求建立一个完整的信息安全管理体系。该管理体系在组织中建立一个完整的切入、实施、维护和文件化的管理框架。该管理标准提供给组织信息安全管理的最佳实践指导。ISO/IEC 17799（BS 7799）是组织一个关键的管理工具，它可以用来识别管理和减小对组织信息安全的威胁。企业的信息如产品定价、客户信息、研究成果、市场开发计划或发展战略等是企业赖以生存的宝贵财富。当一个组织与另一个组织合作的时候，对信息的保护尤为重要。当您的组织要把保密的信息与另一组织分享的时候，您应当肯定对方是否能够保证该信息的安全，同样的您也应该保证对方的敏感信息的安全。ISO17799是从BS7799转换来的，目前ISO17799的最新版本是ISO17799：2005，它包含了133个安全控制措施来帮助组织识别在运做过程中对信息安全有影响的元素。这133多个控制措施被分成11个方面，成为组织实施信息安全管理的实用指南，这十一个方面分别是：一、安全方针（Security Policy）二、信息安全组织（Security Organization）三、资产管理（Asset Management ）四、人员安全（Personnel Security）五、物理与环境安全（Physical and Environmental Security）六、通信与运营管理(Communications and Operations Management)七、访问控制（Access Control）八、系统开发与维护（Systems Development and Maintenance）九、信息安全事故管理（Infomation Incident Management）十、业务持续性管理（Business Continuity Management）十一、法律符合性（Compliance）ISO27001：2005是根据ISO17799：2005制定的一个ISMS体系实施规范，并可使用该规范对组织的信息安全管理体系进行审核与认证。通过使用该规范能使组织建立信息安全管理体系，包括以下几个步骤：定义信息安全方针 == 信息安全方针文档定义ISMS范围 == ISMS范围文档资产识别 == 资产清单风险评估 == 风险评估文档选择控制目标和控制措施 == 控制规划体系运行 == 运行计划和运行记录体系审核 == 审核计划与审核记录管理评审 == 评审计划与评审记录体系认证 == 认证申请及认证证书　　　　　　　　根据ISO17799确定的内容，通过ISO 27001来实施和认证ISMS，并不就一定能保证组织能完全摆脱信息安全遭破坏，但实施该标准使信息安全被破坏的可能性降低，因此降低投资和信息安全事故发生后的被破坏的程度。三、建立ISMS体系对组织有什么好处？保证信息安全不是仅有一个防火墙，或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。而引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效。信息安全管理体系标准(ISO2