欄目導(dǎo)航
ISO27001認(rèn)證
信息安全管理體系簡(jiǎn)介
1、什么是信息安全
信息安全是一個(gè)廣泛而抽象的概念,不同領(lǐng)域不同方面對(duì)其概念的闡述都會(huì)有所不同。建立在網(wǎng)絡(luò)基礎(chǔ)之上的現(xiàn)代信息系統(tǒng),其安全定義較為明確,那就是:保護(hù)信息系統(tǒng)的硬件、軟件及相關(guān)數(shù)據(jù),使之不因?yàn)榕既换蛘邜阂馇址付馐芷茐摹⒏募靶孤?,保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行。在商業(yè)和經(jīng)濟(jì)領(lǐng)域,信息安全主要強(qiáng)調(diào)的是消減并控制風(fēng)險(xiǎn),保持業(yè)務(wù)運(yùn)營(yíng)的連續(xù)性,并將風(fēng)險(xiǎn)造成的損失和影響降低到最低程度。
信息作為一種資產(chǎn),是企業(yè)或組織進(jìn)行正常業(yè)務(wù)運(yùn)作和管理不可或缺的資源。從最高層次來(lái)講,信息安全關(guān)系到國(guó)家的安全;對(duì)組織機(jī)構(gòu)來(lái)說(shuō),信息安全關(guān)系到業(yè)務(wù)正常運(yùn)作和持續(xù)發(fā)展;對(duì)一個(gè)企業(yè)來(lái)說(shuō),生存發(fā)展是頭等大事,而企業(yè)的生存和發(fā)展,有賴(lài)于企業(yè)所特有的各項(xiàng)業(yè)務(wù)活動(dòng)的健康有序的進(jìn)行,對(duì)現(xiàn)代企業(yè)來(lái)說(shuō),高度信息化是必然之道,是企業(yè)一切業(yè)務(wù)、管理和運(yùn)作活動(dòng)所依賴(lài)的基礎(chǔ)之一;就個(gè)人而言,信息安全是保護(hù)個(gè)人隱私和財(cái)產(chǎn)的必然要求。無(wú)論是個(gè)人、組織還是國(guó)家,保持關(guān)鍵的信息資產(chǎn)的安全性都是非常重要的。信息安全的任務(wù),就是要采取措施(技術(shù)手段及有效管理)讓這些信息資產(chǎn)免遭威脅,或者將威脅帶來(lái)的后果降到最低程度,以此維護(hù)組織的正常運(yùn)作。
總的來(lái)說(shuō),凡是涉及到保密性、完整性、可用性、可追溯性、真實(shí)性和可靠性保護(hù)等方面的技術(shù)和理論,都是信息安全所要研究的范疇,也是信息安全所要實(shí)現(xiàn)的目標(biāo)。
2、什么是信息安全管理體系
信息安全管理體系(Information Security Management System,簡(jiǎn)稱(chēng)ISMS)是組織整體管理體系的一個(gè)部分,是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo),以及完成這些目標(biāo)所用方法的體系。基于對(duì)業(yè)務(wù)風(fēng)險(xiǎn)的認(rèn)識(shí),ISMS 包括建立、實(shí)施、操作、監(jiān)視、復(fù)查、維護(hù)和改進(jìn)信息安全等一系列的管理活動(dòng),并且表現(xiàn)為組織結(jié)構(gòu)、策略方針、計(jì)劃活動(dòng)、目標(biāo)與原則、人員與責(zé)任、過(guò)程與方法、資源等諸多要素的集合。
ISO/IEC27001:2005 就是建立和維護(hù)信息安全管理體系的標(biāo)準(zhǔn),是國(guó)際最具權(quán)威的適用于各類(lèi)組織的信息安全整體解決方案,它要求通過(guò)PDCA過(guò)程來(lái)建立ISMS 框架:確定體系范圍,制定信息安全策略,明確管理職責(zé),通過(guò)風(fēng)險(xiǎn)評(píng)估確定控制目標(biāo)和控制方式。體系一旦建立,組織應(yīng)該實(shí)施、維護(hù)和持續(xù)改進(jìn)ISMS,保持體系運(yùn)作的有效性。同時(shí),ISO/IEC27001:2005也非常強(qiáng)調(diào)信息安全管理過(guò)程中文件化的工作,ISMS 的文件體系應(yīng)該包括安全策略、適用性聲明(選擇與未選擇的控制目標(biāo)和控制措施)、實(shí)施安全控制所需的程序文件、ISMS 控制和操作程序,以及組織圍繞ISMS 開(kāi)展的所有活動(dòng)的證明材料。除此之外,它還提供了國(guó)際上知名企業(yè)在信息安全方面的133個(gè)良好實(shí)踐慣例,通過(guò)對(duì)組織中涉及信息安全的11大領(lǐng)域?qū)嵤┻@133個(gè)控制措施來(lái)達(dá)到涵蓋整個(gè)組織信息安全的39個(gè)控制目標(biāo),從而實(shí)現(xiàn)整個(gè)組織的業(yè)務(wù)持續(xù)發(fā)展戰(zhàn)略。
3、為什么要建立信息安全管理體系
隨著信息技術(shù)的高速發(fā)展,特別是Internet的迅速普及和電子政務(wù)、電子商務(wù)的興起,許多信息安全的問(wèn)題也紛紛出現(xiàn):系統(tǒng)癱瘓、黑客入侵、病毒感染、網(wǎng)絡(luò)釣魚(yú)、網(wǎng)頁(yè)篡改、企業(yè)或機(jī)構(gòu)資料與商業(yè)秘密泄露、核心技術(shù)被竊等等。這些信息安全問(wèn)題給組織的經(jīng)營(yíng)管理、業(yè)務(wù)持續(xù)發(fā)展甚至生存都帶來(lái)嚴(yán)重的影響。
去年6月,公安部對(duì)2006年度信息網(wǎng)絡(luò)安全狀況的調(diào)查結(jié)果顯示,一些單位信息安全事件處置方法和手段單一,防范措施不完善,網(wǎng)絡(luò)安全管理人員不足、專(zhuān)業(yè)素質(zhì)有待提高,被調(diào)查單位信息安全管理水平整體上仍滯后于信息化發(fā)展要求,我國(guó)計(jì)算機(jī)病毒本土化制作、傳播的趨勢(shì)更加明顯。
網(wǎng)絡(luò)安全事件調(diào)查顯示,2005年5月至2006年5月,54%的被調(diào)查單位發(fā)生過(guò)信息網(wǎng)絡(luò)安全事件,其中發(fā)生過(guò)3次以上的占22%,比去年上升7%。感染計(jì)算機(jī)病毒、蠕蟲(chóng)和木馬程序仍然是最突出的網(wǎng)絡(luò)安全情況,占發(fā)生安全事件總數(shù)的84%;“遭到端口掃描或網(wǎng)絡(luò)攻擊”(36%)和“垃圾郵件”(35%)次之。金融證券行業(yè)發(fā)生網(wǎng)絡(luò)安全事件的比例最低,商業(yè)貿(mào)易、制造業(yè)、廣電和新聞、教育科研、互聯(lián)網(wǎng)和信息技術(shù)等行業(yè)發(fā)生網(wǎng)絡(luò)安全事件的比例較高。在發(fā)生的安全事件中,攻擊或傳播源來(lái)自外部的占50%;內(nèi)外部均有的占34.5%,比去年上升10.5%。發(fā)現(xiàn)安全事件的途徑主要是網(wǎng)絡(luò)(系統(tǒng))管理員通過(guò)技術(shù)監(jiān)測(cè)發(fā)現(xiàn),占54%;其次是通過(guò)安全產(chǎn)品報(bào)警發(fā)現(xiàn),占46%;事后分析發(fā)現(xiàn)的占35%;未修補(bǔ)或防范軟件漏洞仍然是導(dǎo)致安全事件發(fā)生的最主要原因(73%)。
信息安全管理方面的調(diào)查顯示,83%的被調(diào)查單位設(shè)立了專(zhuān)職或兼職安全管理人員,11%的單位建立了安全組織。44%的被調(diào)查單位采購(gòu)了信息安全服務(wù),主要采購(gòu)的服務(wù)有系統(tǒng)維護(hù)(79%)、安全檢測(cè)(60%),其次是容災(zāi)備份與恢復(fù)(39%)、應(yīng)急響應(yīng)(31%)、信息安全咨詢(xún)(25%)。在采取安全管理和技術(shù)措施方面,68%的單位進(jìn)行存儲(chǔ)備份,67%進(jìn)行口令加密和訪(fǎng)問(wèn)控制,56%制定了安全管理規(guī)章制度;近八成的被調(diào)查單位使用了防火墻和計(jì)算機(jī)病毒防治產(chǎn)品,其中防火墻產(chǎn)品中,73%的是國(guó)內(nèi)產(chǎn)品;計(jì)算機(jī)病毒防治產(chǎn)品中,79%的是國(guó)內(nèi)產(chǎn)品。
計(jì)算機(jī)病毒調(diào)查顯示,2006年計(jì)算機(jī)病毒感染率為74%;多次感染病毒的比率為52%,5、6月份出現(xiàn)了“敲詐者”木馬等盜取網(wǎng)上用戶(hù)密碼的計(jì)算機(jī)病毒。計(jì)算機(jī)病毒制造、傳播者利用病毒盜取QQ帳號(hào)、網(wǎng)絡(luò)游戲帳號(hào)和網(wǎng)絡(luò)游戲裝備,網(wǎng)上販賣(mài)計(jì)算機(jī)病毒,非法牟利的活動(dòng)日益增多。計(jì)算機(jī)病毒發(fā)作造成損失的比例為62%。瀏覽器配置被修改、數(shù)據(jù)受損或丟失、系統(tǒng)使用受限、網(wǎng)絡(luò)無(wú)法使用、密碼被盜是計(jì)算機(jī)病毒造成的主要破壞后果;網(wǎng)絡(luò)瀏覽或下載仍是感染計(jì)算機(jī)病毒最多的途徑,通過(guò)優(yōu)盤(pán)等移動(dòng)存儲(chǔ)介質(zhì)傳播病毒的比率明顯增加。
據(jù)統(tǒng)計(jì),各種安全威脅對(duì)企業(yè)信息安全的影響指數(shù)是:特洛伊木馬、病毒、蠕蟲(chóng)以及惡意代碼(無(wú)關(guān)源程序)占50%,間諜軟件占45%,垃圾軟件占44%,員工失誤(無(wú)心的)占39%,應(yīng)用程序漏洞占37%,數(shù)據(jù)被員工或商業(yè)合作伙伴竊取占27%,黑客占36%,內(nèi)部人員蓄意損壞占30%,無(wú)線(xiàn)LANs占30%,新技術(shù)的部署(如無(wú)線(xiàn)LANs,遠(yuǎn)程訪(fǎng)問(wèn)) 占27%,商業(yè)合作伙伴的失誤(無(wú)心的) 占24%,不屬競(jìng)爭(zhēng)對(duì)手和網(wǎng)絡(luò)恐怖主義范疇的無(wú)意入侵者、員工或合作伙伴占20%,網(wǎng)絡(luò)恐怖主義占19%,不能遵循政府調(diào)整命令占16%,競(jìng)爭(zhēng)者派來(lái)的間諜占15%。
統(tǒng)計(jì)數(shù)據(jù)表明,在所有的信息安全事件中,人為因素占52%,自然災(zāi)害占 25% ,技術(shù)錯(cuò)誤占10%,組織內(nèi)部人員作案占10%,僅有3%左右是由外部不法人員的攻擊造成。屬于管理方面的原因比重高達(dá)70%以上, 而這些安全問(wèn)題中的95%是可以通過(guò)科學(xué)的信息安全管理來(lái)避免。如果企業(yè)或機(jī)構(gòu)有一套系統(tǒng)全面的信息安全管理制度,并在企業(yè)或機(jī)構(gòu)內(nèi)部得到宣貫,90%的信息安全威脅都是可以避免的。
