[分享]BS7799信息安全管理体系
· 信息及信息安全
信息可以以多种形式存在 。它可以是打印或写在纸上(如书面的财务报表等),也可以电子形式存贮 (如一个企业ERP系统的备份磁带),或通过邮件或用电子手段传输,或显示在胶片上,或表达在会话中。但是,不论信息采用什么方式或 采取什么手段共享和存贮,今天各行业对信息的依赖愈来愈大,如政府、银行、证券等行业,电力行业亦不例外。信息己成为企业的一种重要的资产,必须加以妥善的保护。信息安全管理使企业信息避免一系列威胁,保障了企业商务活动的连续性,最大限度地减小企业的商务损失,顺利获取投资和商务回报。
信息安全的维持可表征为:
A、机密性:确保信息仅可让授权获取的人士访问;
B、完整性:保护信息和处理方法的准确和完善;
C、可用性:确保授权人需要时可以获取信息和相应的资产。
· 信息安全的重要性
信息及其支持过程的系统和网络都是企业的重要资产。信息的机密性、完整性 和可用性对保持一个企业的竞争优势、资金流动、效益、法律符合性和商务形象都 是至关重要的。任何企业及其信息系统(如一个企业的ERP系统)和网络都可能面 临着包括计算机辅助欺诈、刺探、阴谋破坏、火灾、水灾等大范围的安全威胁。随 着计算机的日益发展和普及,计算机病毒、计算机盗窃、服务器的非法入侵破坏已 变得日益普遍和错综复杂。
目前一些企业,特别是一些较大型公司的业务已经完全依赖信息系统进行生 产业务管理,这意味着这些企业更易受到安全威胁的破坏。企业内网络的互连及信 息资源的共享增大了实现访问控制的难度。 有些企业的信息系统尽管在设计时可能已考虑了安全,但仅仅依靠技术手段 实现安全仍然是有限的,还应当通过管理和程序来支持,可以说是"三分技术,七 分管理"。
·信息安全管理体系标准
信息安全管理最早起源于1995年。英国贸工部根据英国国内企业对信息安全日益高涨的呼声,大企业的信息安全经理们制定了世界上第一个信息安全管理体系标准BS 7799-1:1995《信息安全管理实施规则》,作为工商企业实施信息安全管理 的指南 。之后,鉴于信息技术尤其是网络和通信领域应用的迅速发展 ,及为适应 第三方认证的需要进行了多次修订,形成了现在的BS7799-1:1999和BS7799-2: 1999。新修订的1999版标准进一步强调了企业在商务工作中所涉及的信息安全和信 息安全责任。
BS7799-1:1999和BS7799-2:1999是一对配套标准,BS7799-1:1999为如 何建立和实施符合BS7799-2:1999 标准要求的信息安全管理体系提供了最佳的应 用建议。
令人鼓舞的是,2000年12月BS7799-1:1999已经被SO/IEC正式采纳成为国际 标准 ISO 17799-1:2000《信息技术 - 信息安全管理实施规则》,另外,7799- 2:1999也即将于2002年底被ISO/IEC作为蓝本修订后成为可用于认证的ISO/IEC的 《信息安全管理体系 规范》。
·建立信息安全管理体系(ISMS)的重要意义
任何企业,不论它在信息技术方面如何努力以及采纳如何新的信息安全技术, 实际上在信息安全管理方面都还存在漏洞,例如:
1. 缺少信息安全管理论证,安全导向不明确,管理支持不明显;
2. 缺少跨部门的信息安全协调机制;
3. 保护特定资产以及完成特定安全过程的职责还不明确;
4. 雇员信息安全意识薄弱 ,缺少防范意识,外来人员很容易直接进入生产和 工作场所;
5. 企业信息系统管理制度不够健全;
6. 企业信息系统主机房安全存在隐患 ,如防火设施存在问题,与危险品仓库 同处一幢办公楼等; 7. 企业信息系统备份设备仍有欠缺;
8. 企业信息系统安全防范技术投入欠缺;
9. 软件知识产权保护欠缺;
10. 计算机房、办公场所等物理防范措施欠缺;
11. 档案、记录等缺少可靠贮存场所;
12. 缺少一旦发生意外时的保证生产经营连续性的措施和计划; …….等等
信息可以以多种形式存在 。它可以是打印或写在纸上(如书面的财务报表等),也可以电子形式存贮 (如一个企业ERP系统的备份磁带),或通过邮件或用电子手段传输,或显示在胶片上,或表达在会话中。但是,不论信息采用什么方式或 采取什么手段共享和存贮,今天各行业对信息的依赖愈来愈大,如政府、银行、证券等行业,电力行业亦不例外。信息己成为企业的一种重要的资产,必须加以妥善的保护。信息安全管理使企业信息避免一系列威胁,保障了企业商务活动的连续性,最大限度地减小企业的商务损失,顺利获取投资和商务回报。
信息安全的维持可表征为:
A、机密性:确保信息仅可让授权获取的人士访问;
B、完整性:保护信息和处理方法的准确和完善;
C、可用性:确保授权人需要时可以获取信息和相应的资产。
· 信息安全的重要性
信息及其支持过程的系统和网络都是企业的重要资产。信息的机密性、完整性 和可用性对保持一个企业的竞争优势、资金流动、效益、法律符合性和商务形象都 是至关重要的。任何企业及其信息系统(如一个企业的ERP系统)和网络都可能面 临着包括计算机辅助欺诈、刺探、阴谋破坏、火灾、水灾等大范围的安全威胁。随 着计算机的日益发展和普及,计算机病毒、计算机盗窃、服务器的非法入侵破坏已 变得日益普遍和错综复杂。
目前一些企业,特别是一些较大型公司的业务已经完全依赖信息系统进行生 产业务管理,这意味着这些企业更易受到安全威胁的破坏。企业内网络的互连及信 息资源的共享增大了实现访问控制的难度。 有些企业的信息系统尽管在设计时可能已考虑了安全,但仅仅依靠技术手段 实现安全仍然是有限的,还应当通过管理和程序来支持,可以说是"三分技术,七 分管理"。
·信息安全管理体系标准
信息安全管理最早起源于1995年。英国贸工部根据英国国内企业对信息安全日益高涨的呼声,大企业的信息安全经理们制定了世界上第一个信息安全管理体系标准BS 7799-1:1995《信息安全管理实施规则》,作为工商企业实施信息安全管理 的指南 。之后,鉴于信息技术尤其是网络和通信领域应用的迅速发展 ,及为适应 第三方认证的需要进行了多次修订,形成了现在的BS7799-1:1999和BS7799-2: 1999。新修订的1999版标准进一步强调了企业在商务工作中所涉及的信息安全和信 息安全责任。
BS7799-1:1999和BS7799-2:1999是一对配套标准,BS7799-1:1999为如 何建立和实施符合BS7799-2:1999 标准要求的信息安全管理体系提供了最佳的应 用建议。
令人鼓舞的是,2000年12月BS7799-1:1999已经被SO/IEC正式采纳成为国际 标准 ISO 17799-1:2000《信息技术 - 信息安全管理实施规则》,另外,7799- 2:1999也即将于2002年底被ISO/IEC作为蓝本修订后成为可用于认证的ISO/IEC的 《信息安全管理体系 规范》。
·建立信息安全管理体系(ISMS)的重要意义
任何企业,不论它在信息技术方面如何努力以及采纳如何新的信息安全技术, 实际上在信息安全管理方面都还存在漏洞,例如:
1. 缺少信息安全管理论证,安全导向不明确,管理支持不明显;
2. 缺少跨部门的信息安全协调机制;
3. 保护特定资产以及完成特定安全过程的职责还不明确;
4. 雇员信息安全意识薄弱 ,缺少防范意识,外来人员很容易直接进入生产和 工作场所;
5. 企业信息系统管理制度不够健全;
6. 企业信息系统主机房安全存在隐患 ,如防火设施存在问题,与危险品仓库 同处一幢办公楼等; 7. 企业信息系统备份设备仍有欠缺;
8. 企业信息系统安全防范技术投入欠缺;
9. 软件知识产权保护欠缺;
10. 计算机房、办公场所等物理防范措施欠缺;
11. 档案、记录等缺少可靠贮存场所;
12. 缺少一旦发生意外时的保证生产经营连续性的措施和计划; …….等等
没有找到相关结果
已邀请:
RSS Feed
0 个回复