基本介绍
随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等信息安全问题也纷纷出现,给组织的经营管理、生存甚至国家安全都带来严重的影响。为此,国际标准化组织(ISO)和国际电工委员会(IEC)于2005年10月15日联合发布了国际标准ISO/IEC 27001《信息技术-安全技术-信息安全管理体系-要求》,旨在为所有类型的组织,包括政府、银行、电讯、研究机构、外包服务企业、软件服务企业等,在建立、实施、运行、监视、评审、保持和改进信息安全管理体系时提供模型,并规定了为适应不同组织或其部门的需要而制定安全控制措施的实施要求。ISO/IEC 27001标准涉及了最广泛意义上的信息安全,为组织实施、维护和管理信息安全提供了最好的商业操作指南和原则,并可以用作第三方认证的依据。2008年6月19日,我国等同采用发布了GB/T 22080-2008标准。
标准特点
● 基于风险管理的思想,指导组织建立信息安全管理体系
● 基于系统、全面、科学的安全风险评估,体现预防控制为主的思想
● 强调遵守国家有关信息安全的法律法规及其他合同方要求
● 强调全过程和动态控制
● 用于保护组织信息资产,防止信息资产遭受危害的管理工具,通过对所有潜在信息风险进行分析,确定预防措施。减少、防止信息威胁的发生
● 强调确保信息的保密性、完整性和可用性
● 体现信息安全不是单一的技术问题,是一个集管理、法规、技术综合作用为一体的、长期的、复杂的系统工程的指导思想
实施意义
● 有一套“量体裁衣”的信息安全管理控制措施和保护信息资产的制度框架
● 形成了高层管理人员与技术负责人进行信息安全沟通的共同语言
● 使组织将IT策略和组织发展方向统一起来,确保与IT相关的风险受到适当的控制
● 通过方针、惯例、程序、组织结构和软件功能来确定控制方式并实施控制,持续提高组织信息安全管理水平
● 降低信息安全对持续发展造成的风险,利用信息技术为组织创造新的战略竞争机遇
● 根据控制费用与风险平衡的原则合理选择安全控制方式
● 使信息风险的发生概率和结果降低到可接受收水平,保持组织业务运作的持续性
|