1、什么是ISMS
信息安全管理体系(Information Security ManagementSystem,简称ISMS)起源于英国标准协会(British Standards Institution, BSI)1990年代制定的英国国家标准BS7799,是系统化管理思想在信息安全领域的应用。
随着国际标准化组织(ISO)和国际电工学会(IEC)联合将BSI的相关工作转化为ISMS国际标准(ISO/IEC27001:2005),ISMS迅速得到全球各类组织的接受和认可,成为世界不同国家和地区、不同类型、不同规模的组织解决信息安全问题的有力武器。ISMS证书也成为组织向其客户、合作伙伴等各种相关方及社会大众证明其信息安全能力和水平的标志。
2、为什么需要ISMS
我们已经身处信息时代,计算机和网络已经成为各类组织不可或缺的工具,信息成为组织赖以生存的重要资产,价值与日俱增,与此同时也面临各种各样、越来越多的安全威胁。病毒破坏、黑客攻击、网络欺诈、重要信息资料丢失、信息系统瘫痪以及利用计算机网络实施的各种犯罪行为层出不穷、防不胜防。信息资产一旦遭到破坏,将给组织带来直接的经济损失,并导致组织的声誉和公众形象受到损害,使组织丧失市场机会和竞争力,甚至威胁组织的生存。因此,组织必须解决信息安全问题,有效保护信息资产。
2000年12月,国际标准化组织(ISO)和国际电工学会(IEC)联合发布*一个信息安全管理国际标准ISO/IEC17799:2000“信息安全管理实用规则(Code of practice for information securitymanagement)”。2005年6月,ISO和IEC对该标准进行修订,发布ISO/IEC17799:2005信息安全管理实用规则(为与随后发布的ISO/IEC 27001:2005相一致,2007年将其改为ISO/IEC27002:2005)。2005年10月,发布ISO/IEC 27001:2005“信息安全管理体系要求(InformationSecurity Management System Requirements)”。
自此,ISMS在国际上得到正式确立并蓬勃发展。如今ISMS已经成为信息安全领域的热门话题。基于国际标准ISO/IEC27001:2005的信息安全管理体系(Information Security Management System,ISMS)是目前国际上得到公认的先进的信息安全解决方案,已为越来越多的组织所采用。
ISO/IEC27001:2005根植于PDCA管理体系改善模式,指导组织系统地从133项信息安全控制措施中选择适合组织自身信息安全要求的控制措施,以帮助组织解决信息安全问题,实现信息安全目标。
为了保障组织信息安全,在计划(Plan)阶段,组织需要进行风险评估以了解组织的信息安全需求,并根据需求设计解决方案;在实施(Do)阶段,组织将解决方案付诸实现;在检查(Check)阶段,需要持续监视和审查解决方案的有效性;在措施(Act)阶段,对所发现的问题并结合组织内、外部环境的变化予以解决,以持续提升组织的信息安全。
通过螺旋式的提升过程,组织就能将不断变化的的信息安全需求和期望转化为可管理的信息安全实现。
3、什么是ISMS认证
所谓认证,即由可以充分信任的第三方认证机构依据特定的审核准则,按照规定的程序和方法对受审核方实施审核,以证实某一经鉴定的产品或服务符合特定标准或规范性文件的活动。
针对ISO/IEC 27001的受认可的认证,是对组织的ISMS符合ISO/IEC 27001要求的一种认证。这是一种通过权威的第三方审核之后提供的保证:受认证的组织实施了ISMS,并且符合ISO/IEC27001标准的要求。通过认证的组织,将会被注册登记。
4、为什么要进行ISMS认证
根据CSI/FBI的Computer Crime and Security Survey2005中的统计,65%的组织至少发生了一次信息安全事故,而在这份报告中同时表明有97%的组织部署了防火墙,96%组织部署了防病毒软件。可见,我们传统的信息安全技术手段并不奏效,信息安全现状不容乐观。
实际上,只有在宏观层次上实施了良好的信息安全管理,即采用国际上公认的*佳实践或规则集等,才能使微观层次上的安全,如物理措施等,实现其恰当的作用。采用ISMS标准并得到认证无疑是组织应该考虑的方案之一。
1、预防信息安全事故,保证组织业务的连续性,使组织的重要信息资产受到与其价值相 符的保护,包括防范:
 重要的商业秘密信息的泄漏、丢失、篡改和不可用;
 重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断。
2、节省成本。一个好的ISMS不仅可通过避免安全事故而使组织节省成本,而且也能帮助组织合理筹划信息安全费用支出,包括:
 依据信息资产的风险级别,安排安全控制措施的投资优先级;
 对于可接受的信息资产的风险,不投资安全控制。
3、保持组织良好的竞争力和成功运作的状态,提高在公众中的形象和声誉,*大限度的增加投资回报和商业机会,增强客户、合作伙伴等相关方的信任和信心。
ISMS认证有助于组织节约信息安全成本,增强客户、合作伙伴等相关方的信心和信任,提高组织的公众形象和竞争力,有助于管理和保护组织宝贵的信息资产。 |
 |
|
手机站
您当前位置是:商业机会 >> 商务服务 >> 认证服务 >> 供应苏州ISO27001咨询与认证
联系信息