信息安全管理体系介绍.ppt

,信息安全管理体系介绍,主题,一、信息安全管理体系简介二、信息安全管理体系现状三、政府关注信息安全管理体系认证,信息安全管理体系,信息安全是一个广泛而抽象的概念，不同领域不同方面对其概念的阐述都会有所不同。建立在网络基础之上的现代信息系统，其安全定义较为明确，那就是：保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行。在商业和经济领域，信息安全主要强调的是消减并控制风险，保持业务操作的连续性，并将风险造成的损失和影响降低到最低程度。信息作为一种资产，是企业或组织进行正常商务运作和管理不可或缺的资源。从最高层次来讲，信息安全关系到国家的安全；对组织机构来说，信息安全关系到正常运作和持续发展；就个人而言，信息安全是保护个人隐私和财产的必然要求。无论是个人、组织还是国家，保持关键的信息资产的安全性都是非常重要的。信息安全的任务，就是要采取措施（技术手段及有效管理）让这些信息资产免遭威胁，或者将威胁带来的后果降到最低程度，以此维护组织的正常运作。据美国FBI统计，美国每年因网络安全问题所造成的经济损失高达100多亿美元，还有日益增加的趋势，那么，信息安全问题主要是由哪方面的原因引起呢？据有关部门统计，在所有的计算机安全事件中，约有52%是人为因素造成的，25%由火灾、水灾等自然灾害引起，技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部不法人员的攻击造成。简单归类，属于管理方面的原因比重高达70%以上，也就是说，真正的信息安全是需要系统的管理来保证的,信息安全应具备以下几个方面的特征：a）保密性-确保信息仅允许授权人员访问。b）完整性-信息及其处理方法的准确和全面。c）可用性-确保在需要时，授权用户能访问到信息、接触到相关资产。,对信息安全而言，应主要考虑以下几种信息类型的安全a）内部信息组织不对外公开的信息。b）客户信息客户不想让组织泄露的信息。c）共享信息组织需要与其他贸易合作伙伴分享的信息。,信息安全管理体系发展历程：,1995年英国标准协会颁布了指南性标准BS7799-1:1995信息安全管理实施细则,1999年，BS7799-1:1995修订后再次由英国标准协会颁布，BS7799-2信息安全管理体系规范也在同年颁布。,2000年12月1日，BS7799第一部分成为ISO17799国际标准，该标准2005年经过最新改版，发展成为ISO/IEC17799:2005标准。,信息安全管理体系认证,认证(Certification)是第三方依据程序对产品、过程、服务符合规定的要求给予书面保证（合格证书），认证的基础是标准，认证的方法包括对产品的特性的抽样检验和对组织体系的审核与评定，认证的证明方式是认证证书与认证标志。认证是第三方所从事的活动，通过认证活动，组织可以对外提供某种信任与保证，如产品质量保证、信息安全保证等。目前，世界上普遍采用的信息安全管理体系的认证标准是英国标准协会的信息安全管理委员会指导下制定的ISO/IEC27001：2005信息安全管理体系规范。组织实施信息安全管理体系认证，就是根据BS7799标准，建立完整的信息安全管理体系，达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式，用最低的成本，达到可接受的信息安全水平，从根本上保证业务的持续性。,认证的目的和作用,信息安全管理第三方认证为组织的信息安全体系提供客观公正的评价，使组织在信息安全管理方面有更大的可信性，并且能够使用证书向利益相关的组织提供保证；同时，认证能够促进组织间的贸易关系，提高跨行业的信息安全管理水平，从整体上有利于各国的全球贸易的开展。信息安全管理体系可以保证组织提供可靠的信息安全服务，对该体系进行认证可以树立组织信息安全形象，为客户、合作者提供信息安全信任感，有利于组织业务活动的开展，特别是当信息安全构成组织所提供产品或服务的一个质量特性时，如金融、电信等服务组织，开展ISO27001体系认证对外具有很强的质量保证作用。在我国加入以后，无论在中国还是在国外，都是全球一体化的竞争。并且，这个时代的显著特征是风险的频率和规模越来越大。在信息时代，所有的企业，不论其规模、结构、性质或产业是什么，提供给用户的各类服务，其前提条件一定要是安全的服务。因此，信息安全和风险管理都将是必不可少的。ISO27001国际认证不仅仅是衡量组织信息安全管理水平的标准，也已经成为组织具有更高规范管理水平和竞争力的标志。比如，在软件或集成电路等很多产业之间的竞争，已经发展成为价值链与价值链之间的竞争。假如我国企业没有通过ISO27001等国际标准认证的管理体系，其管理水平和国际竞争力将大打折扣，从而有可能错失一些外包订单或失去与国际大厂商合作的机会。反之，构建基于ISO27001等国际标准的管理体系，将极大地提升中国企业的国际竞争力水平。,信息安全管理体系现状,目前，我国实际发生的安全事件，很多是由于管理不到位、责任不落实造成的。从国际上讲，据2002年美国FBI统计，83%的信息安全事故是内部人员或内外勾结所为，而且呈上升的趋势。防内为主，内外兼防，需要从提高使用节点自身的安全着手，构建积极、综合的防护系统。一般来讲，组织的信息安全需求有以下几个来源：,(1）法律法规与合同条约的要求,（2）组织自身业务持续性发展的要求,（3）客户的要求,能全面了解自身的重要信息资产和信息安全现状，使企业的信息安全得到有效管理和控制加强公司信息资产的安全性，保障业务持续开展与紧急恢复强化员工的信息安全意识，规范组织信息安全行为减少可能潜在的风险隐患，减少信息系统故障、人员流失带来的经济损失；,建立信息安全管理体系的必要性,维护公司的声誉、品牌和客户信任，保持竞争优势；保证公司商业安全，给投资方带来企业持续发展的信心；使组织的生意伙伴和客户对组织充满信心满足客户和法律法规要求。,建立信息安全管理体系的必要性,信息安全管理体系认证情况,随着企业对信息安全的重视，越来越多企业在建立信息安全管理体系的同时也寻求信息安全管理体系的认证。具信息安全管理体系国际用户组织（ISMSIUG）统计，截至2007年10月份，全球已有4000多家企业通过信息安全管理体系标准ISO/IEC27001认证。通过认证企业数量前5位的国家和地区的顺序是：日本、英国、印度、台湾和德国。全球通过认证的最多的国家是日本已达2317家，可见日本政府和企业对信息安全管理的重视程度。我国目前通过认证的企业数量为近100家，通过认证的企业有如华为、中兴等高科技企业，有如大连华信等软件和服务外包企业，也有广东生益科技股份有限公司，可以说信息安全涉及到各行各业。,政府关注信息安全管理体系认证,2002年4月认监委在中认大厦召开国家ISMS认证认可高层研讨会；2002年11月信安标委WG7开始研究和制定ISMS国家标准；2004年4月认监委在其办公大楼会议室召开ISMS认证认可工作会议；则”，该标准修改采用ISO/IEC17799:2000；2005年6月我国发布第一个ISMS国家标准“GB/T19716-2005信息安全管理实用