ISO27000信息安全管理体系的常见问题:
信息技术深刻影响人们的生产和生活方式,对经济社会各领域正在产生革命性影响。而信息安全事件随之频频发生,不仅威胁到个人生命与财产安全,也给企业、组织带来损失和信誉危机。由信息安全漏洞而触发的一系列胆战心惊的严重后果,让企业不得不重视信息安全管理。
ISO27000旨在为信息保护提供统一和集中控制的管理体系。此外,通过有效监控IT安全风险,可降低各类业务流程所面临的威胁。
ISO27001是ISO27000系列的主标准,类似于ISO9000系列中的ISO9001,各类组织可以按照ISO27001的要求建立自己的信息安全管理体系(ISMS),并通过认证。
信息象其他重要的商务资产一样,也是一种资产,对一个组织而言具有价值,因而需要妥善保护。信息安全使信息避免一系列威胁,保障商务的连续性,限度地减少商务的损失,限度地获取投资和商务的回报。
信息是所有组织的血肉。它可以以多种形式存在,可以是打印出来的或写出来的,电子存储信件,通过邮件或使用其他电子手段传递,显示在胶片上或表达在会话中。事实上,所有的组织都有他们各自处理信息的形式。银行、保险和公司都处理消费者信息,保健提供者需要管理其的信息,存储的和分类信息。不仅仅是市场,所有组织需要安全性管理,存储和保护公司以及。不论信息采用什么方式或采取什么手段共享和存储,它应该总是得到妥善保护。
为什么需要信息安全
信息的支持过程,系统和网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。
而如今的组织及其信息系统和网络面临着包括计算机辅助欺诈、刺探、阴谋破坏行为、火灾、水灾等大范围的安全威胁,而其他类似计算机病毒、和服务器破坏等已变得更加普遍,更加错综复杂。据统计表明80-90%公司的计算机是内部人干的,在金融系统中,自1992年英国商业因信息安全的损失估计达到1.2万亿英镑(参考信息安全技术报告,Vol.3,No.4)。组织依靠信息系统和服务意味着更易受到安全威胁的破坏;公共和私人网络的互连及信息资源的共享增大了控制访问的难度;分布式计算机的趋势减弱了中央、控制的有效性……因此保护和防卫信息是很必要的。而由于许多信息系统并非在设计时就考虑了安全,依靠技术手段实现安全很有限,则应该由适当的管理和程序来支持。
信息安全管理是通过保证维护信息的性,完整性和可用性来管理和保护机构部门的所有的信息资产的一项体制。如果按要求的规范在设计阶段实行信息安全管理,还会降低成本,提。
