<meter id="1tf7o"></meter><b id="1tf7o"></b><xmp id="1tf7o"><b id="1tf7o"><div id="1tf7o"></div></b></xmp>
  • <nobr id="1tf7o"></nobr><input id="1tf7o"><code id="1tf7o"></code></input>
    <xmp id="1tf7o"></xmp>

    <nobr id="1tf7o"><td id="1tf7o"></td></nobr>
  • ?
    ISO/IEC27001知識介紹 ?
    發表時間:2018-03-15 11:17:02
    信息安全管理體系(Information Security Management System,簡稱為ISMS)是1998年前后從英國發展起來的信息安全領域中的一個新概念,是管理體系(Management System,MS)思想和方法在信息安全領域的應用。近年來,伴隨著ISMS國際標準的制修訂,ISMS迅速被全球接受和認可,成為世界各國、各種類型、各種規模的組織解決信息安全問題的一個有效方法。ISMS認證隨之成為組織向社會及其相關方證明其信息安全水平和能力的一種有效途徑。
    在ISMS的要求標準ISO/IEC27001:2005(信息安全管理體系 要求)的第3章術語和定義中,對ISMS的定義如下:
    ISMS(信息安全管理體系):是整個管理體系的一部分。它是基于業務風險方法,來建立、實施、運行、監視、評審、保持和改進信息安全的。注:管理體系包括組織結構、方針策略、規劃活動、職責、實踐、程序、過程和資源。
    這個定義看上去同其他管理體系的定義描述不盡相同,但我們也可以用ISO GUIDE 72:2001(Guidelines for the justification and development of management system standards管理體系標準合理性和制定導則)中管理體系的定義,將ISMS描述為:組織在信息安全方面建立方針和目標,并實現這些目標的一組相互關聯、相互作用的要素。
    ISMS同其他MS(如QMS、EMS、OHSMS)一樣,有許多共同的要素,其原理、方法、過程和體系的結構也基本一致。
    單純從定義理解,可能無法立即掌握ISMS的實質,我們可以把ISMS理解為一臺“機器”,這臺機器的功能就是制造“信息安全”,它由許多“部件”(要素)構成,這些“部件”包括ISMS管理機構、ISMS文件以及資源等,ISMS通過這些“部件”之間的相互作用來實現其“保障信息安全”的功能。

    1.2 為什么需要ISMS

    今天,我們已經身處信息時代,在這個時代,“計算機和網絡”已經成為組織重要的生產工具,“信息”成為主要的生產資料和產品,組織的業務越來越依賴計算機、網絡和信息,它們共同成為組織賴以生存的重要信息資產。
    可是,計算機、網絡和信息等信息資產在服務于組織業務的同時,也受到越來越多的安全威脅。病毒破壞、黑客攻擊、信息系統癱瘓、網絡欺詐、重要信息資料丟失以及利用計算機網絡實施的各種犯罪行為,人們已不再陌生,并且這樣的事件好像經常在我們身邊發生。下面的案例更清晰的表現了這種趨勢:
    2005年6月19日,萬事達公司宣布,儲存有大約4千萬信用卡客戶信息的電腦系統遭到一名黑客入侵。被盜賬號的信息資料已經在互聯網上公開出售,每條100美元,并可能被用于金融欺詐活動。
    2005年5月19日,深圳市中級人民法院對華為公司訴其前員工案作出終審判決,維持深圳市南山區人民法院2004年12月作出的一審判決。3名前華為公司員工,因辭職后帶走公司技術資料并以此贏利。這3名高學歷的IT界科技精英,最終因侵犯商業秘密罪將分別在牢房里度過兩到三年光陰。
    2005年7月12日下午2時35分,承載著超過200萬用戶的北京網通ADSL和LAN寬帶網,突然同時大面積中斷。北京網通隨即投入大量人力物力緊急搶修,至3時30分左右開始網絡逐漸恢復正常。這次事故大約影響了20萬北京網民。
    2006年5月8日上午8時左右,中國工程院院士,著名的傳染病學專家鐘南山在上班的路上,被劫匪很“柔和”地搶走了手中的筆記本電腦。事后鐘院士說“一個科技工作者的作品、心血都在電腦里面,電腦里還存著正在研制的新藥方案,要是這個研究方案變成一種新藥,那是幾個億的價值啊”。
    (以上案例均來自互聯網)
    這幾個案例僅僅是冰山一角,打開電視、翻翻報紙、瀏覽一下互聯網,類似這樣的事件幾乎每天都在發生。從這些案例可以看出,信息資產一旦遭到破壞,將給組織帶來直接的經濟損失、損害組織的聲譽和公眾形象,使組織喪失市場機會和競爭力,更為甚者,會威脅到組織的生存。
    因此,保護信息資產,解決信息安全問題,已經成為組織必須考慮的問題。
    信息安全問題出現的初期,人們主要依靠信息安全的技術和產品來解決信息安全問題。技術和產品的應用,一定程度上解決了部分信息安全問題。但是人們發現僅僅靠這些產品和技術還不夠,即使采購和使用了足夠先進、足夠多的信息安全產品,如防病毒、防火墻、入侵檢測、隱患掃描等,仍然無法避免一些信息安全事件的發生,組織安裝的許多安全產品成了“聾子的耳朵”。與組織中人員相關的信息安全問題,信息安全成本和效益的平衡問題,信息安全目標、業務連續性、信息安全相關法規符合性等問題,依靠產品和技術是解決不了的。
    人們開始逐漸意識到管理在解決信息安全問題中的作用。于是ISMS應運而生。2000年12月,國際標準化組織發布一個信息安全管理的標準-ISO/IEC 17799:2000“信息安全管理實用規則(Code of practice for information security management)”,2005年6月,國際標準化組織對該標準進行了修訂,頒布了ISO/IEC17799:2005(現已更名為ISO/IEC27002:2005),10月,又發布了ISO/IEC27001:2005“信息安全管理體系要求(Information Security Management System Requirement)”。
    自此,ISMS在國際上確立并發展起來。今天,ISMS已經成為信息安全領域的一個熱門話題。
    在线播放国产不卡免费视频,九九线精品视频在线观看视频,亚洲精品国产电影,日韩欧精品无码视频无删节