問(wèn)題解答:
今天,我們已經(jīng)身處信息時(shí)代,在這個(gè)時(shí)代,“計(jì)算機(jī)和網(wǎng)絡(luò)”已經(jīng)成為組織重要的生產(chǎn)工具,“信息”成為主要的生產(chǎn)資料和產(chǎn)品,組織的業(yè)務(wù)越來(lái)越依賴計(jì)算機(jī)、網(wǎng)絡(luò)和信息,它們共同成為組織賴以生存的重要信息資產(chǎn)。可是,計(jì)算機(jī)、網(wǎng)絡(luò)和信息等信息資產(chǎn)在服務(wù)于組織業(yè)務(wù)的同時(shí),也受到越來(lái)越多的安全威脅。病毒破壞、黑客攻擊、信息系統(tǒng)癱瘓、網(wǎng)絡(luò)欺詐、重要信息資料丟失以及利用計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施的各種犯罪行為,人們已不再陌生,并且這樣的事件好像經(jīng)常在我們身邊發(fā)生。
這幾個(gè)案例僅僅是冰山一角,打開電視、翻翻報(bào)紙、瀏覽一下互聯(lián)網(wǎng),類似這樣的事件幾乎每天都在發(fā)生。從這些案例可以看出,信息資產(chǎn)一旦遭到破壞,將給組織帶來(lái)直接的經(jīng)濟(jì)損失、損害組織的聲譽(yù)和公眾形象,使組織喪失市場(chǎng)機(jī)會(huì)和競(jìng)爭(zhēng)力,更為甚者,會(huì)威脅到組織的生存。
長(zhǎng)久以來(lái),很多人自覺不自覺地都會(huì)陷入技術(shù)決定一切的誤區(qū)當(dāng)中,尤其是那些出身信息技術(shù)行業(yè)的管理者和操作者。最早的時(shí)候,人們把信息安全的希望寄托在加密技術(shù)上面,認(rèn)為一經(jīng)加密,什么安全問(wèn)題都可以解決。隨著互連網(wǎng)絡(luò)的發(fā)展,一段時(shí)期我們又常聽到"防火墻決定一切"的論調(diào)。及至更多安全問(wèn)題的涌現(xiàn),入侵檢測(cè)、PKI、VPN 等新的技術(shù)應(yīng)用被接二連三地提了出來(lái),但無(wú)論怎么變化,還是離不開技術(shù)統(tǒng)領(lǐng)信息安全的路子。可這樣的思路能夠真正解決安全問(wèn)題嗎?也許可以解決一部分,但卻解決不了根本。實(shí)際上,對(duì)安全技術(shù)和產(chǎn)品的選擇運(yùn)用,這只是信息安全實(shí)踐活動(dòng)中的一部分,只是實(shí)現(xiàn)安全需求的手段而已。信息安全更廣泛的內(nèi)容,還包括制定完備的安全策略,通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)確定需求,根據(jù)需求選擇安全技術(shù)和產(chǎn)品,并按照既定的安全策略和流程規(guī)范來(lái)實(shí)施、維護(hù)和審查安全控制措施。歸根到底,信息安全并不是技術(shù)過(guò)程,而是管理過(guò)程。
之所以有這樣的認(rèn)識(shí)誤區(qū),原因是多方面的,從安全產(chǎn)品提供商的角度來(lái)看,既然側(cè)重在于產(chǎn)品銷售,自然從始至終向客戶灌輸?shù)亩际且约夹g(shù)和產(chǎn)品為核心的理念。而從客戶角度來(lái)看,只有產(chǎn)品是有形的,是看得見摸得著的,對(duì)決策投資來(lái)說(shuō),這是至關(guān)重要的一點(diǎn),而信息安全的其他方面,比如無(wú)形的管理過(guò)程,自然是遭致忽略。
正是因?yàn)橛羞@樣的錯(cuò)誤認(rèn)識(shí),我們就經(jīng)常看到:許多組織使用了防火墻、IDS、安全掃描等設(shè)備,但卻沒有制定一套以安全策略為核心的管理措施,致使安全技術(shù)和產(chǎn)品的運(yùn)用非常混亂,不能做到長(zhǎng)期有效和更新。即使組織制定有安全策略,卻沒有通過(guò)有效的實(shí)施和監(jiān)督機(jī)制去執(zhí)行,使得策略空有其文成了擺設(shè)而未見效果。
實(shí)際上對(duì)待技術(shù)和管理的關(guān)系應(yīng)該有充分理性的認(rèn)識(shí):技術(shù)是實(shí)現(xiàn)安全目標(biāo)的手段,管理是選擇、實(shí)施、使用、維護(hù)、審查包括技術(shù)措施在內(nèi)的安全手段的整個(gè)過(guò)程,是實(shí)現(xiàn)信息安全目標(biāo)的必由之路。
在現(xiàn)實(shí)的信息安全管理決策當(dāng)中,必須關(guān)注以下幾點(diǎn):
應(yīng)該制定信息安全方針和多層次的安全策略,以便為各項(xiàng)信息安全管理活動(dòng)提供指引和支持;
應(yīng)該通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)充分發(fā)掘組織真實(shí)的信息安全需求;
應(yīng)該遵循預(yù)防為主的理念;
應(yīng)該加強(qiáng)人員安全意識(shí)和教育;
管理層應(yīng)該足夠重視并提供切實(shí)有效的支持;
應(yīng)該持有動(dòng)態(tài)管理、持續(xù)改進(jìn)的思想;
應(yīng)該以業(yè)務(wù)持續(xù)發(fā)展為目標(biāo),達(dá)成信息安全控制的力度、使用的便利性以及成本投入之間的平衡。
因此,保護(hù)信息資產(chǎn),解決信息安全問(wèn)題,已經(jīng)成為組織必須考慮的問(wèn)題。信息安全問(wèn)題出現(xiàn)的初期,人們主要依靠信息安全的技術(shù)和產(chǎn)品來(lái)解決信息安全問(wèn)題。技 術(shù)和產(chǎn)品的應(yīng)用,一定程度上解決了部分信息安全問(wèn)題。但是人們發(fā)現(xiàn)僅僅靠這些產(chǎn)品和技術(shù)還不夠,即使采購(gòu)和使用了足夠先進(jìn)、足夠多的信息安全產(chǎn)品,如防病 毒、防火墻、入侵檢測(cè)、隱患掃描等,仍然無(wú)法避免一些信息安全事件的發(fā)生,組織安裝的許多安全產(chǎn)品成了“聾子的耳朵”。與組織中人員相關(guān)的信息安全問(wèn)題, 信息安全成本和效益的平衡問(wèn)題,信息安全目標(biāo)、業(yè)務(wù)連續(xù)性、信息安全相關(guān)法規(guī)符合性等問(wèn)題,依靠產(chǎn)品和技術(shù)是解決不了的。
人們開始逐漸意識(shí)到管理在解決信 息安全問(wèn)題中的作用。于是ISMS應(yīng)運(yùn)而生。2000年12月,國(guó)際標(biāo)準(zhǔn)化組織發(fā)布一個(gè)信息安全管理的標(biāo)準(zhǔn)-ISO/IEC 17799:2000“信息安全管理實(shí)用規(guī)則(Code of practice for information security management)”,2005年6月,國(guó)際標(biāo)準(zhǔn)化組織對(duì)該標(biāo)準(zhǔn)進(jìn)行了修訂,頒布了ISO/IEC17799:2005(現(xiàn)已更名為ISO /IEC27002:2005),10月,又發(fā)布了ISO/IEC27001:2005“信息安全管理體系要求(Information Security Management System Requirement)”。自此,ISMS在國(guó)際上確立并發(fā)展起來(lái)。今天,ISMS已經(jīng)成為信息安全領(lǐng)域的一個(gè)熱門話題。
中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢,檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu),儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商,法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了,如還需要了解更多專業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊,包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息,中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導(dǎo)等知識(shí)。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心
免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)跟我們聯(lián)系刪除并致歉!
