ISO27001信息安全標(biāo)準(zhǔn)產(chǎn)生的背景
添加時間:2014-06-19 19:19:43
人類正進(jìn)入信息化社會,社會發(fā)展對信息資源的依賴程度越來越大���,從人們?nèi)粘I?��、組織運(yùn)作到國家管理��,信息資源都是不可或缺的重要資源�,沒有各種信息的支持�����,現(xiàn)代社會將不能生存和發(fā)展�����。在信息社會中����,一方面信息已成為人類重要資產(chǎn)���,在政治�、經(jīng)濟(jì)��、軍事����、教育、科技����、生活等方面發(fā)揮著重要作用,另一方面計算機(jī)技術(shù)的迅猛發(fā)展而帶來的信息安全問題正變得日益突出。由于信息具有易傳播�、易擴(kuò)散、易毀損的特點(diǎn)�����,信息資產(chǎn)的比傳統(tǒng)的實物資產(chǎn)更加脆弱�����,更容易受到損害��,使組織在業(yè)務(wù)運(yùn)作過程中面臨大量的風(fēng)險���。其風(fēng)險主要來源于組織管理�、信息系統(tǒng)�����、信息基礎(chǔ)設(shè)施等方面的固有薄弱環(huán)節(jié)����,以及大量存在于組織內(nèi)、外的各種威脅,因此對信息系統(tǒng)需要加以嚴(yán)格管理和妥善保護(hù)��。
信息可以理解為消息、情報�����、數(shù)據(jù)或知識���,它可以以多種形式存在,可以是組織中信息設(shè)施中存儲與處理的數(shù)據(jù)��、程序��,可以是打印出來的或?qū)懗鰜淼恼撐?����、電子郵件��、設(shè)計圖紙����、業(yè)務(wù)方案,也可以顯示在膠片上或表達(dá)在會話中消息��。所有的組織都有他們各自處理信息的形式�����,例如,銀行���、保險和信用卡公司都需要處理消費(fèi)者信息�,衛(wèi)生保健部門需要管理病人信息���,政府管理部門存儲機(jī)密的和分類信息���。無論組織對這些信息采用什么樣的共享、處理和存儲方式�,都需要對敏感信息加以安全、妥善的保護(hù)�����,不僅要保證信息處理和傳輸過程是可靠的����、有效的,而且要求重要的敏感信息是機(jī)密的�����、完整的和真實的。為達(dá)到這樣的目標(biāo)�,組織必須采取一系列適當(dāng)?shù)男畔踩刂拼胧┎趴梢允剐畔⒈苊庖幌盗型{,保障業(yè)務(wù)的連續(xù)性�����,最大限度地減少業(yè)務(wù)的損失�����,最大限度地獲取投資回報���。
在ISO27002中,對信息的定義更確切���、具體:“信息是一種資產(chǎn)��,像其他重要的業(yè)務(wù)資產(chǎn)一樣��,對組織具有價值���,因此需要妥善保護(hù)”。通過風(fēng)險評估與控制�,不但能確保企業(yè)持續(xù)營運(yùn)�����,還能減少企業(yè)在面對類似‘911事件’之時出現(xiàn)的危機(jī)��。
ISO/IEC27001標(biāo)準(zhǔn)是組織進(jìn)行信息安全管理體系認(rèn)證的依據(jù)���,相當(dāng)于質(zhì)量管理體系中的ISO9001標(biāo)準(zhǔn)。ISO 27001通過層次結(jié)構(gòu)化形式提供安全策略��、信息安全的組織結(jié)構(gòu)�、資產(chǎn)管理、人力資源安全等14個安全控制章節(jié)�����、35個主要安全類和114個具體控制措施���,通過建立完整的安全操作流程��、事件響應(yīng)機(jī)制����,增強(qiáng)項目開發(fā)/技術(shù)服務(wù)/銷售/售后服務(wù)過程��、和網(wǎng)內(nèi)設(shè)備自身的安全性,確保公司信息的保密性(確保只有經(jīng)過授權(quán)的人才能訪問信息)���、完整性(保護(hù)信息和信息的處理方法準(zhǔn)確而完整)��、可用性(確保經(jīng)過授權(quán)的用戶在需要時可以訪問信息并使用相關(guān)信息資產(chǎn))�����。
ISO27000系列主要包含以下標(biāo)準(zhǔn):
• ISO/IEC 27000 概述和詞匯
• ISO/IEC 27001 信息安全管理體系-要求
• ISO/IEC 27002 信息安全管理實踐代碼
• ISO/IEC 27003 信息安全管理體系實施指南
• ISO/IEC 27004 信息安全管理衡量指南與指標(biāo)框架
• ISO/IEC 27005 信息安全風(fēng)險管理指南
• ISO/IEC 27006 認(rèn)證機(jī)構(gòu)要求
• ISO/IEC 27007信息安全管理系統(tǒng)審核指南
• ISO/IEC 27008 信息安全管理體系控制措施審核指南
• ISO/IEC 27011 通信組織信息安全管理指南
• ISO/IEC 27014 信息安全治理指南
• ISO/IEC 27015 金融行業(yè)信息安全管理指南
• ISO/IEC 27031 業(yè)務(wù)連續(xù)性
• ISO/IEC 27032 網(wǎng)絡(luò)空間安全指南
• ISO/IEC 27033 網(wǎng)絡(luò)安全指南
• ISO/IEC 27034 應(yīng)用安全指南
• ISO/IEC 27035 安全事件管理指南
• ISO/IEC 27036 供應(yīng)關(guān)系信息安全
• ISO/IEC 27037 數(shù)字證據(jù)收集和保存指南
• ISO/IEC 27040 存儲安全
• ISO/IEC 27799 醫(yī)療機(jī)構(gòu)信息安全管理指南
• ISO/IEC 13335 信息安全風(fēng)險管理指南
• ISO/IEC 27050-1-3 電子發(fā)現(xiàn) 等
截至2023年02月底,我國已有33452家企業(yè)/組織通過了ISO27001認(rèn)證����。
