亚洲综合色在线视频www,中文字幕人妻av一区二区,国产亚洲欧美精品久久久,四虎国产精品永久地址99,共妻大肉大捧一进一出年代文

ISO/IEC 27001信息安全管理體系

ISO/IEC 27001信息安全管理體系

自20世紀(jì)80年代以來,由于互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展,信息安全跨越了時間和空間。向全面而動態(tài)的整體體系建設(shè)方向發(fā)展?!感畔ⅰ箤⒏偁巸?yōu)勢起著舉足輕重的作用。但它同時也是柄雙刃劍,當(dāng)信息被意外或刻意的傳給惡意的接收者時,同樣的信息也可能導(dǎo)致一所機(jī)構(gòu)倒閉。

信息安全管理系統(tǒng)(ISMS)是高層管理人員用以監(jiān)察及控制信息安全、減少商業(yè)風(fēng)險和確保保安系統(tǒng)持續(xù)符合企業(yè)、客戶及法律要求的一個體系。ISO/IEC 27001:2005 能協(xié)助機(jī)構(gòu)保護(hù)專利信息,同時也為制定統(tǒng)一的機(jī)構(gòu)保安標(biāo)準(zhǔn)搭建了一個平臺,更有助于提升安全管理的實(shí)務(wù)表現(xiàn)和增強(qiáng)機(jī)構(gòu)間商業(yè)往來的信心與信任。

企業(yè)信息安全管理面對的常見問題

1.ISO/IEC 27001:2005不是技術(shù)體系是管理體系

許多企業(yè)都以為信息安全管理體系是技術(shù)體系,需要強(qiáng)大的技術(shù)支持才能令自己的信息“萬無一失”。其實(shí)不然,信息安全重在管理,ISO 27001體系圍繞信息資產(chǎn)的三大要素為保密性、完整性與可用性,運(yùn)用風(fēng)險控制管理手段,通過實(shí)施可持續(xù)性的改進(jìn)循環(huán)體制,無限放大“管理”的效用,使得企業(yè)的信息安全得以保障。

其基本框架如下圖:

 

它的11個控制因素共可分為三個方面:

管理方面:資產(chǎn)管理;符合性;人力資源安全;業(yè)務(wù)連續(xù)性管理;溝通和營運(yùn)管理

技術(shù)方面:訪問控制;信息安全事件管理;信息系統(tǒng)獲取、開發(fā)和維護(hù)

物理方面:物理和環(huán)境安全

 

2.在風(fēng)險處置過程中所輸出的眾多信息安全管控措施難以統(tǒng)一規(guī)劃,并且缺少各項(xiàng)控制措施與信息安全風(fēng)險的一一對應(yīng)

在風(fēng)險評估的過程中將會全面、系統(tǒng)地對企業(yè)的各項(xiàng)信息資產(chǎn)進(jìn)行詳細(xì)的風(fēng)險分析,系統(tǒng)的分析出企業(yè)所面臨的各項(xiàng)風(fēng)險,并對各項(xiàng)風(fēng)險采取合理、有效的管控措施。在風(fēng)險評估的過程中,企業(yè)所面臨的信息安全風(fēng)險的類別,以及每一類信息風(fēng)險中實(shí)際風(fēng)險的個數(shù)無疑是非常大的,并且不同類別的信息安全風(fēng)險所采取管控措施的優(yōu)先級也有很大的差別,如何對數(shù)量龐大的風(fēng)險及管控措施進(jìn)行合理的規(guī)劃,對于企業(yè)來說無疑是一個很大的難題,尤其對于組織規(guī)模比較龐大的企業(yè)更是如此,因此如何對風(fēng)險評估后的管控措施進(jìn)行統(tǒng)一、合理的規(guī)劃至關(guān)重要。 

 

3.信息安全管理體系中的各級文件、模板及記錄很難有條理地進(jìn)行管理

信息安全管理體系擁有為數(shù)眾多的文檔化的方針、策略、規(guī)范、制度,并在體系運(yùn)行的過程中將產(chǎn)生大量的記錄,如何對這些文件進(jìn)行分門別類的管理,并且很好的對其中的邏輯性與一致性進(jìn)行控制,這對于體系維護(hù)人員來講是一個不大不小的難題。 

 

4.體系實(shí)施及運(yùn)作過程中關(guān)鍵的活動(如體系測量、組織內(nèi)審、管理評審等)的策略、實(shí)施、記錄很難系統(tǒng)化、程序化

信息安全管理體系在進(jìn)行PDCA循環(huán)運(yùn)行中,控制措施測量、內(nèi)審及管理評審是體系進(jìn)行持續(xù)改進(jìn)的發(fā)動機(jī),但是,由于這些活動關(guān)系到企業(yè)的各個部門,組織、策劃、協(xié)調(diào)起來非常的困難,因此,如何將這些活動的組織策劃自動化、實(shí)施程序系統(tǒng)化,并且實(shí)施過程記錄完整化是體系推行人員一個非常大的挑戰(zhàn)。

 

PDCA模型應(yīng)用與信息安全管理體系過程


5.其他面對的問題

除了以上問題外,缺少跨部門的信息安全協(xié)調(diào)機(jī)制;軟件知識產(chǎn)權(quán)保護(hù)欠缺;硬件設(shè)施不健全;缺少一旦發(fā)生意外時的保證生產(chǎn)經(jīng)營連續(xù)性的措施和計(jì)劃;等等,也是信息安全管理方面亟待解決的方面。

 

6. 信息安全確保公司資產(chǎn)有效、安全運(yùn)營

信息安全-保護(hù)信息保密性、完整性和可用性;另外,其他特性如真實(shí)性、可確認(rèn)性、不可否認(rèn)性和可靠性也可以包括在內(nèi)

關(guān)鍵三要素:

保密性:信息被獲取或泄露給未經(jīng)授權(quán)的個人、實(shí)體或流程

完整性:保護(hù)資產(chǎn)準(zhǔn)確和完整

可用性:資產(chǎn)僅對授權(quán)人員在需要的時候是可訪問的或可用的