|
|
|
信息安全是一个广泛而抽象的概念,不同领域不同方面对其概念的阐述都会有所不同。建立在网络基础之上的现代信息系统,其安全定义较为明确,那就是:保护信息系统的硬件、软件及相关数据,使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行。在商业和经济领域,信息安全主要强调的是消减并控制风险,保持业务运营的连续性,并将风险造成的损失和影响降低到最低程度。 信息作为一种资产,是企业或组织进行正常业务运作和管理不可或缺的资源。从最高层次来讲,信息安全关系到国家的安全;对组织机构来说,信息安全关系到业务正常运作和持续发展;对一个企业来说,生存发展是头等大事,而企业的生存和发展,有赖于企业所特有的各项业务活动的健康有序的进行,对现代企业来说,高度信息化是必然之道,是企业一切业务、管理和运作活动所依赖的基础之一;就个人而言,信息安全是保护个人隐私和财产的必然要求。无论是个人、组织还是国家,保持关键的信息资产的安全性都是非常重要的。信息安全的任务,就是要采取措施(技术手段及有效管理)让这些信息资产免遭威胁,或者将威胁带来的后果降到最低程度,以此维护组织的正常运作。 总的来说,凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论,都是信息安全所要研究的范畴,也是信息安全所要实现的目标。 信息安全管理体系(Information Security Management System,简称ISMS)是组织整体管理体系的一个部分,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。基于对业务风险的认识,ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动,并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。 ISO/IEC27001:2005就是建立和维护信息安全管理体系的标准,是国际最具权威的适用于各类组织的信息安全整体解决方案,它要求通过PDCA过程来建立ISMS框架:确定体系范围,制定信息安全策略,明确管理职责,通过风险评估确定控制目标和控制方式。体系一旦建立,组织应该实施、维护和持续改进ISMS,保持体系运作的有效性。同时,ISO/IEC27001:2005也非常强调信息安全管理过程中文件化的工作,ISMS的文件体系应该包括安全策略、适用性声明(选择与未选择的控制目标和控制措施)、实施安全控制所需的程序文件、ISMS控制和操作程序,以及组织围绕ISMS开展的所有活动的证明材料。除此之外,它还提供了国际上知名企业在信息安全方面的133个良好实践惯例,通过对组织中涉及信息安全的11大领域实施这133个控制措施来达到涵盖整个组织信息安全的39个控制目标,从而实现整个组织的业务持续发展战略。 |
