<nav id="easux"><label id="easux"></label></nav>

      <mark id="easux"><wbr id="easux"><dfn id="easux"></dfn></wbr></mark>
    1. <ol id="easux"></ol><u id="easux"><big id="easux"></big></u><input id="easux"></input>
      <kbd id="easux"></kbd>




          0755-81449725
        153 2378 4427

         

        綜合新聞
        其他認證
        首頁綜合新聞其他認證 > 什么是信息安全管理體系以及相關認證BS7799
        什么是信息安全管理體系以及相關認證BS7799
        • 作者:
        • 來源:
        • 日期: 2013-09-16
        • 閱讀: 3553

        信息是一種資產,一旦損毀、丟失、或被不適當地曝光,會給組織帶來一系列的損失,如“冰山原理”所描述,我們能直接感知到的數據的丟失,只是整體損失的冰山一角,潛藏在水面下的部分,可能會是直接損失的6~53倍,這包括:損失了時間,替代的成本,可能的法律風險,聲譽受損,丟失潛在的業務,競爭力和生產力受損等等。這些損失是我們不愿意面對的,因此信息安全越來越成為我們關注的熱點問題。
         
        三根支柱 不可偏廢
         
        信息安全的問題倍受關注,是信息技術發展到一定水平,信息化深入到一定程度之后的一個必然趨勢和結果。信息對于業務的重要性,或者講業務對于信息的依賴性,使得信息安全問題尤為突出,另外一個方面,信息媒介的多樣性,信息傳播的廣泛性等因素也造就了保護信息安全的復雜度。因此如何來保護信息安全,怎么樣才能保護信息安全,成為技術廠商、管理專家經常探討和論述的話題。
         
        我們知道保障信息安全有三個支柱,一個是技術、一個是管理、一個是法律法規。而我們日常提及信息安全時,多是在技術相關的領域,例如IDS入侵檢測技術、Firewall防火墻技術、Anti-Virus防病毒技術、加密技術、CA認證技術等等。這是因為信息安全技術和產品的采納,能夠快速見到直接效益,同時,技術和產品的發展水平也相對較高,此外,技術廠商對市場的培育,不斷提升著人們對信息安全技術和產品的認知度。雖然大家在面對信息安全事件時總是在嘆息:“道高一尺、魔高一丈”,在反思自身技術的不足,實質上人們此時忽視的是另外兩個層面的保障。
         
        國家的法律法規方面,有專門的部門在研究和制定和推廣,不是本文探討的主題,我們要討論的是,誰來關注管理對信息安全的保障呢?這要靠組織自己通過意識提高,管理水平的提升來逐步改善。
         
        正如“木桶原理”所示,你的能力是由你最弱的那個環節決定的,我們發展信息安全事業,保護信息安全,也應該從上述三個方面全面考量,而不能只偏重其中的某一個部分。
         
        管理體系如何架構
         
        當我們考慮到用管理體系的方法來保護信息安全時,BS7799信息安全管理體系標準無疑是一個很好的幫助:
         
        BS7799是一套基于最佳實踐的成功的信息安全管理體系方法,她最早由英國商務部推動,由BSI將其發展成為標準。BS7799共分兩部分,第一部分已經在2000年被采納為ISO17799,是信息安全管理實踐指南,第二部分BS7799-2是信息安全管理體系規范,換言之,第二部分告訴我們應該做什么,第一部分則提供了一些如何做或者好做法的指導。
         
        從中我們可以看到,作為一個信息安全管理體系,輸入是相關方的信息安全的期望和要求,經過一個PDCA體系的循環,得到的輸出將是各相關方信息安全要求的滿足,也就是說,信息安全已經受到管理和掌控。
         
        BS7799匯集了優秀企業最佳實踐,規范了10個安全控制區域,36個安全控制目標和127個安全控制措施。她以風險評估為基礎,自頂向下的管理方法,從組織、人員、流程、技術、法律法規、永續經營等全方位實施的管理體系。
         
        我們構建一個信息安全管理體系,需要考慮以下幾個步驟:
         
        1. 定義范圍
         
        2. 定義方針
         
        3. 確定風險評估的方法
         
        4. 識別風險
         
        5. 評估風險
         
        6. 識別并評估風險處理的措施
         
        7. 為處理風險選擇控制目標和控制措施
         
        8. 準備適用性聲明
         
        而構建一個成功的信息安全管理體系的關鍵成功因素在于:
         
        1. 最高領導層對管理體系的承諾;
         
        2. 體系與整個組織文化的一致性,與業務營運目標的一致性;
         
        3. 理清職責權限;
         
        4. 有效的宣傳、培訓,提升意識,不僅要針對內部員工,也要針對合作伙伴、供應商、外包服務商等。
         
        5. 盤清信息資產、明確信息安全的要求,明晰風險評估和處理的方法和流程;
         
        6. 均衡的測量監控體系,持續監控各種變化,從監控結果中尋求持續改進的機會。
         
        信息安全管理體系當前的發展:
         
        BS7799-2可以提供認證服務,該標準是當前唯一可以提供對組織的信息安全管理體系的認證標準。在實施了一套信息安全管理體系之后,可以籍由第三方獨立認證,向社會、向公眾、向客戶證實所實施體系的有效性和效果,提供信心保障。
         
        當前全球已經頒發了超過1000張證書,并且這個數字正在不斷增長中,證書主要集中在日本、英國、印度、臺灣。證書的分布主要在政府、金融、通信、電子、物流等行業。我國已經頒發證書10張,當前正處于一個蓄勢待發的階段。
         
        BS7799標準已經被很多國家和地區采納為國家標準或地區標準,如日本、臺灣等地。我國在這方面的工作也在進展中。

         

        收縮
        • 在線咨詢
        • 點擊這里給我發消息
          涂老師
          點擊這里給我發消息
          廖經理
          旺旺客服 
          沈經理
          Call me!
          廖小姐
          Skype客服
            
          提升國產品質工作小組 點擊這里給我發消息 點擊這里給我發消息
        亚洲午夜AⅤ视频_最新亚洲国产AV_国产成人无码a区电影_av高清无码免费一区_亚洲另类在线观看_亚洲高清中文字幕