什么是信息安全管理體系以及相關(guān)認(rèn)證BS7799
信息是一種資產(chǎn),一旦損毀、丟失、或被不適當(dāng)?shù)仄毓猓瑫?huì)給組織帶來一系列的損失,如“冰山原理”所描述,我們能直接感知到的數(shù)據(jù)的丟失,只是整體損失的冰山一角,潛藏在水面下的部分,可能會(huì)是直接損失的6~53倍,這包括:損失了時(shí)間,替代的成本,可能的法律風(fēng)險(xiǎn),聲譽(yù)受損,丟失潛在的業(yè)務(wù),競爭力和生產(chǎn)力受損等等。這些損失是我們不愿意面對的,因此信息安全越來越成為我們關(guān)注的熱點(diǎn)問題。三根支柱 不可偏廢
信息安全的問題倍受關(guān)注,是信息技術(shù)發(fā)展到一定水平,信息化深入到一定程度之后的一個(gè)必然趨勢和結(jié)果。信息對于業(yè)務(wù)的重要性,或者講業(yè)務(wù)對于信息的依賴性,使得信息安全問題尤為突出,另外一個(gè)方面,信息媒介的多樣性,信息傳播的廣泛性等因素也造就了保護(hù)信息安全的復(fù)雜度。因此如何來保護(hù)信息安全,怎么樣才能保護(hù)信息安全,成為技術(shù)廠商、管理專家經(jīng)常探討和論述的話題。
我們知道保障信息安全有三個(gè)支柱,一個(gè)是技術(shù)、一個(gè)是管理、一個(gè)是法律法規(guī)。而我們?nèi)粘L峒靶畔踩珪r(shí),多是在技術(shù)相關(guān)的領(lǐng)域,例如IDS入侵檢測技術(shù)、Firewall防火墻技術(shù)、Anti-Virus防病毒技術(shù)、加密技術(shù)、CA認(rèn)證技術(shù)等等。這是因?yàn)樾畔踩夹g(shù)和產(chǎn)品的采納,能夠快速見到直接效益,同時(shí),技術(shù)和產(chǎn)品的發(fā)展水平也相對較高,此外,技術(shù)廠商對市場的培育,不斷提升著人們對信息安全技術(shù)和產(chǎn)品的認(rèn)知度。雖然大家在面對信息安全事件時(shí)總是在嘆息:“道高一尺、魔高一丈”,在反思自身技術(shù)的不足,實(shí)質(zhì)上人們此時(shí)忽視的是另外兩個(gè)層面的保障。
國家的法律法規(guī)方面,有專門的部門在研究和制定和推廣,不是本文探討的主題,我們要討論的是,誰來關(guān)注管理對信息安全的保障呢?這要靠組織自己通過意識提高,管理水平的提升來逐步改善。
正如“木桶原理”所示,你的能力是由你最弱的那個(gè)環(huán)節(jié)決定的,我們發(fā)展信息安全事業(yè),保護(hù)信息安全,也應(yīng)該從上述三個(gè)方面全面考量,而不能只偏重其中的某一個(gè)部分。
管理體系如何架構(gòu)
當(dāng)我們考慮到用管理體系的方法來保護(hù)信息安全時(shí),BS7799信息安全管理體系標(biāo)準(zhǔn)無疑是一個(gè)很好的幫助:
BS7799是一套基于最佳實(shí)踐的成功的信息安全管理體系方法,她最早由英國商務(wù)部推動(dòng),由BSI將其發(fā)展成為標(biāo)準(zhǔn)。BS7799共分兩部分,第一部分已經(jīng)在2000年被采納為ISO17799,是信息安全管理實(shí)踐指南,第二部分BS7799-2是信息安全管理體系規(guī)范,換言之,第二部分告訴我們應(yīng)該做什么,第一部分則提供了一些如何做或者好做法的指導(dǎo)。
從中我們可以看到,作為一個(gè)信息安全管理體系,輸入是相關(guān)方的信息安全的期望和要求,經(jīng)過一個(gè)PDCA體系的循環(huán),得到的輸出將是各相關(guān)方信息安全要求的滿足,也就是說,信息安全已經(jīng)受到管理和掌控。
BS7799匯集了優(yōu)秀企業(yè)最佳實(shí)踐,規(guī)范了10個(gè)安全控制區(qū)域,36個(gè)安全控制目標(biāo)和127個(gè)安全控制措施。她以風(fēng)險(xiǎn)評估為基礎(chǔ),自頂向下的管理方法,從組織、人員、流程、技術(shù)、法律法規(guī)、永續(xù)經(jīng)營等全方位實(shí)施的管理體系。
我們構(gòu)建一個(gè)信息安全管理體系,需要考慮以下幾個(gè)步驟:
1. 定義范圍
2. 定義方針
3. 確定風(fēng)險(xiǎn)評估的方法
4. 識別風(fēng)險(xiǎn)
5. 評估風(fēng)險(xiǎn)
6. 識別并評估風(fēng)險(xiǎn)處理的措施
7. 為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施
8. 準(zhǔn)備適用性聲明
而構(gòu)建一個(gè)成功的信息安全管理體系的關(guān)鍵成功因素在于:
1. 最高領(lǐng)導(dǎo)層對管理體系的承諾;
2. 體系與整個(gè)組織文化的一致性,與業(yè)務(wù)營運(yùn)目標(biāo)的一致性;
3. 理清職責(zé)權(quán)限;
4. 有效的宣傳、培訓(xùn),提升意識,不僅要針對內(nèi)部員工,也要針對合作伙伴、供應(yīng)商、外包服務(wù)商等。
5. 盤清信息資產(chǎn)、明確信息安全的要求,明晰風(fēng)險(xiǎn)評估和處理的方法和流程;
6. 均衡的測量監(jiān)控體系,持續(xù)監(jiān)控各種變化,從監(jiān)控結(jié)果中尋求持續(xù)改進(jìn)的機(jī)會(huì)。
信息安全管理體系當(dāng)前的發(fā)展:
BS7799-2可以提供認(rèn)證服務(wù),該標(biāo)準(zhǔn)是當(dāng)前唯一可以提供對組織的信息安全管理體系的認(rèn)證標(biāo)準(zhǔn)。在實(shí)施了一套信息安全管理體系之后,可以籍由第三方獨(dú)立認(rèn)證,向社會(huì)、向公眾、向客戶證實(shí)所實(shí)施體系的有效性和效果,提供信心保障。
當(dāng)前全球已經(jīng)頒發(fā)了超過1000張證書,并且這個(gè)數(shù)字正在不斷增長中,證書主要集中在日本、英國、印度、臺灣。證書的分布主要在政府、金融、通信、電子、物流等行業(yè)。我國已經(jīng)頒發(fā)證書10張,當(dāng)前正處于一個(gè)蓄勢待發(fā)的階段。
BS7799標(biāo)準(zhǔn)已經(jīng)被很多國家和地區(qū)采納為國家標(biāo)準(zhǔn)或地區(qū)標(biāo)準(zhǔn),如日本、臺灣等地。我國在這方面的工作也在進(jìn)展中。
今天通過對《什么是信息安全管理體系以及相關(guān)認(rèn)證BS7799》的學(xué)習(xí),相信你對認(rèn)證有更好的認(rèn)識。如果要辦理相關(guān)認(rèn)證,請聯(lián)系我們吧。
中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢,檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu),儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商,法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊,包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息,中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導(dǎo)等知識。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心
免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請跟我們聯(lián)系刪除并致歉!
