济宁菏泽ISO27001认证标准东营枣庄27001认证程序-商一网

什么是ISO 27001

　　　信息安全 (Information security): 是指信息的保密性 (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。

　　• 保密性：为保障信息仅仅为那些被授权使用的人获取。

　　信息的保密性是针对信息被允许访问（ Access ）对象的多少而不同，所有人员都可以访问的信息为公开信息，需要限制访问的信息一般为敏感信息或秘密，秘密可以根据信息的重要性及保密要求分为不同的密级，例如国家根据秘密泄露对国家经济、安全利益产生的影响（后果）不同，将国家秘密分为秘密、机密和绝密三个等级，组织可根据其信息安全的实际，在符合《国家保密法》的前提下将其信息划分为不同的密级；对于具体的信息的保密性有时效性，如秘密到期解密等。

　　• 完整性：为保护信息及其处理方法的准确性和完整性。

　　信息完整性一方面是指信息在利用、传输、贮存等过程中不被篡改、丢失、缺损等，另一方面是指信息处理的方法的正确性。不正当的操作，如误删除文件，有可能造成重要文件的丢失。

　　• 可用性：为保障授权使用人在需要时可以获取信息和使用相关的资产。

　　信息的可用性是指信息及相关的信息资产在授权人需要的时候，可以立即获得。例如通信线路中断故障会造成信息的在一段时间内不可用，影响正常的商业运作，这是信息可用性的破坏。不同类型的信息及相应资产的信息安全在保密性、完整性及可用性方面关注点不同，如组织的专有技术、市场营销计划等商业秘密对组织来讲保守机密尤其重要；而对于工业自动控制系统，控制信息的完整性相对其保密性重要得多。

　　为什么需要信息安全？

　　信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。然而，越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁，诸如计算机病毒、计算机入侵、 Dos 攻击等手段造成的信息灾难已变得更加普遍 , 有计划而不易被察觉。组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏，公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。许多信息系统本身就不是按照安全系统的要求来设计的，所以仅依靠技术手段来实现信息安全有其局限性，所以信息安全的实现必须得到管理和程序控制的适当支持。确定应采取哪些控制方式则需要周密计划，并注意细节。信息安全管理至少需要组织中的所有雇员的参与，此外还需要供应商、顾客或股东的参与和信息安全的专家建议。在信息系统设计阶段就将安全要求和控制一体化考虑，则成本会更低、效率会更高。

　　BS7799的信息管理过程：

　　①确定信息安全管理方针。

　　②确定 ISMS( 信息安全管理体系) 的范围

　　③进行风险分析。

　　④选择控制目标并进行控制。

　　⑤建立业务持续计划。

　　⑥建立并实施安全管理体系。

　　建立信息安全管理体系的作用：

　　任何组织，不论它在信息技术方面如何努力以及采纳如何新的信息安全技术，实际上在信息安全管理方面都还存在漏洞，例如：

　　缺少信息安全管理论坛，安全导向不明确，管理支持不明显；

　　缺少跨部门的信息安全协调机制；

　　保护特定资产以及完成特定安全过程的职责还不明确；

　　雇员信息安全意识薄弱，缺少防范意识，外来人员很容易直接进入生产和工作场所；

　　组织信息系统管理制度不够健全；

　　组织信息系统主机房安全存在隐患，如：防火设施存在问题，与危险品仓库同处一幢办公楼等；

　　组织信息系统备份设备仍有欠缺；

　　组织信息系统安全防范技术投入欠缺；

　　软件知识产权保护欠缺；

　　计算机房、办公场所等物理防范措施欠缺；

　　档案、记录等缺少可靠贮存场所；

　　缺少一旦发生意外时的保证生产经营连续性的措施和计划；

　　……等等。

　　其实，组织可以参照信息安全管理模型，按照先进的信息安全管理标准 BS7799 标准建立组织完整的信息安全管理体系并实施与保持，达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式，用最低的成本，达到可接受的信息安全水平，就可以从根本上保证业务的连续性。组织建立、实施与保持信息安全管理体系将会产生如下作用：

　　强化员工的信息安全意识，规范组织信息安全行为；

　　对组织的关键信息资产进行全面系统的保护，维持竞争优势；

　　在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；

　　使组织的生意伙伴和客户对组织充满信心；

　　如果通过体系认证，表明体系符合标准，证明组织有能力保障重要信息，提高组织的知名度与信任度；

　　促使管理层坚持贯彻信息安全保障体系。

信息安全管理体系认证介绍

1. 背景介绍
　　信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法律损失：
——直接损失：丢失订单，减少直接收入，损失生产率；
——间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市值或政治声誉；
——法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。
　　所以，在享用现代信息系统带来的快捷、方便的同时，如何充分防范信息的损坏和泄露，已成为当前企业迫切需要解决的问题。
　　俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。
　　目前，在信息安全管理体系方面，英国标准BS7799已经成为世界上应用最广泛与典型的信息安全管理标准。BS7799标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，并且适用于大、中、小组织。1998年英国公布标准的第二部分BS 7799-2《信息安全管理体系规范》，它规定信息安全管理体系要求与信息安全控制要求，它是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于 1999年重新予以发布，1999版考虑了信息处理技术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全及信息安全的责任。 2000年12月，BS7799-1：1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准----- ISO/IEC17799-1：2000《信息技术-信息安全管理实施细则》。2002年9月5日，BS7799-2:2002草案经过广泛的讨论之后，终于发布成为正式标准，同时BS7799-2:1999被废止。BS7799标准得到了很多国家的认可，是国际上具有代表性的信息安全管理体系标准。2005年11月,ISO27001:2005出版，取代了之前的BS 7799-2:2002，今后，7799系列标准的编号将会发生一定的改变，更改为ISO27001系列。在某些行业如IC和软件外包，信息安全管理体系认证已成为一些客户的要求条件之一。
2. 标准特点
——注重体系的完整性，是一套科学的信息安全管理体系
—— 以风险评估为基础
——强调对法律法规的符合性
—— 广泛适用于各类组织
——与ISO9000标准有很强的兼容性
3. 认证好处
获得ISMS认证您将获得以下好处：
—— 保护企业的知识产权、商标、竞争优势
——维护企业的声誉、品牌和客户信任
——减少可能潜在的风险隐患，减少信息系统故障、人员流失带来的经济损失
—— 强化员工的信息安全意识，规范组织信息安全行为
——在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度
4. 适用范围
　　BS7799-2 从1998年颁布后，在全世界范围内得到广泛的认可。目前已有40多个国家和地区开展信息安全管理体系的认证。根据ISO/IEC 17799（BS 7799）国际使用者协会的最新统计，到2005年4月，全球通过信息安全管理体系BS 7799-2认证的组织已经超过1200家。
　　信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。
5. 认证基本流程
——组织应建立符合BS7799-2标准要求的文件化信息安全管理体系，在申请认证之前应完成内部审核和管理评审，并保证体系的有效、充分运行三个月以上；
——组织应向认证机构提供信息安全管理体系运行的充分信息，对于多现场应说明各现场的认证范围、地址及人员分布等情况，认证机构将以抽样的方式对多现场进行审核；
—— 组织如要求，可向认证机构提出预审核的申请；
——认证分两个阶段进行：第一阶段文件审核，文件审核可在组织现场或非现场进行；第二阶段现场审核；
——获得认证后每年进行一次监督；
——当组织的信息安全管理体系出现变化，或出现影响信息安全管理体系符合性的重大变动时，应及时通知认证机构；认证机构将视情况进行监督审核、换证审核或复审以保持证书的有效性；
6. 实施ISMS基本步骤
（1）系统规划
　　系统规划主要是明订信息安全管理的目标、范围和政策，并收集目前和公司信息安全相关的数据、文件。系统规划阶段应该由一个跨部门的「信息安全委员会」来负责，并且拥有最高管理阶层的支持。
（2）风险评估
　　 ISMS的目标是透过系统的安全风险评估确定安全需求，并对实施控制措施的支出与安全事故可能造成的商业损失进行权衡考虑；透过风险评估可以了解风险的权重和等级，以供建立安全控制机制的参考。风险评估的过程包括：
　＊资产清查、分类与评价
　＊威胁与脆弱性分析
　＊对业务需求、法规需求的评估
　＊评估风险等级
　＊评估可接受之风险等级
　＊建议安全控制措施
　风险评估的总结报告应该呈现给「信息安全委员会」来评估处理风险的策略(移转、避免、降低或接受)，以及决定开始用的工具和办法。
（3）风险管理
　公司必须就企业需求和法令规章决定可接受风险之临界等级，并应该依照所决定的风险管理策略规划和建立控制机制。控制方法可参考BS 7799 - 2 的建议。风险管理的重点在于建立一套循环不断的Plan-Do-Check-Action 机制，藉由不断的审核、重新规划，加强让公司内的安全等级不断提升。
（4）系统颁行和推广
　　 ISMS 是一套不限于IT技术的管理系统，它就像是ISO9001一样需要全公司员工身体力行方能奏效。在实施的过程中，需要经营管理阶层的认知与全力支持，以及全体员工的共识和配合。教育训练和不断的实施活动是必要的，尤其需要定期审核和检查，以确保系统可以持续不断的执行。