信息安全管理体系认证简介

1、精品文档就在这里- 各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有-信息安全管理体系认证简介一信息安全管理随着以计算机和网络通信为代表的信息技术（ IT ）的迅猛发展，政府部门、金融机构、企事业单位和商业组织对 IT 系统的依赖也日益加重，信息技术几乎渗透到了世界各地和社会生活的方方面面。 如今，遍布全球的互联网使得组织机构不仅内在依赖 IT 系统，还不可避免地与外部的 IT 系统建立了错综复杂的联系，但系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等事情时有发生， 这些给组织的经营管理、 生存甚至国家安全都带来严重的影响。所以，对信息加以保

2、护，防范信息的损坏和泄露，已成为当前组织迫切需要解决的问题。俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。 但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、 相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。 这些都是造成信息安全事件的重要原因。 缺乏系统的管理思想也是一个重要的问题。所以， 我们需要一个系统的、 整体规划的信息安全管理体系，从预防控制的角度出发， 保障组织的信息系统与业务之安全与正常运作。二信息安全管理体系标准发展历史及主要内

3、容目前，在信息安全管理体系方面，ISO/IEC27001:2005 信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。 ISO/IEC27001 是由英国标准 BS7799转换而成的。BS7799标准于 1993 年由英国贸易工业部立项，于 1995 年英国首次出版 BS 7799-1 ：1995信息安全管理实施细则，它提供了一套综合的、由信息安全最佳惯例组成的实施规则， 其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，适用于大、中、小组织。 1998 年英国公布标准的第二部分-精品文档-精品文档就在这里- 各类专业好文档，值得你下载，教育，管理，论文，制

4、度，方案手册，应有尽有-BS 7799-2 信息安全管理体系规范，它规定信息安全管理体系要求与信息安全控制要求， 是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认证方案的根据。BS7799-1 与 BS7799-2 经过修订于 1999 年重新予以发布， 1999 版考虑了信息处理技术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全及信息安全的责任。2000 年 12 月，BS7799-1： 1999信息安全管理实施细则通过了国际标准化组织ISO 的认可，正式成为国际标准 - ISO/IEC17799：2000信息技术 - 信息安全管理实施细则，

5、该标准现已升版为ISO/IEC17799：2005。2002 年 9 月 5 日，BS7799-2:2002正式发布，2002 版标准主要在结构上做了修订， 引入了 PDCA(Plan-Do-Check-Act)的过程管理模式，建立了与ISO 9001、 ISO 14001 和 OHSAS 18000 等管理体系标准相同的结构和运行模式。2005 年， BS 7799-2: 2002正式转换为国际标准ISO/IEC27001：2005。依据 ISO/IEC27001： 2005 建立信息安全管理体系并获得认证正成为世界潮流。ISO/IEC27001：2005 标准包括 11 大管理要项、 39

6、 个控制目标和 133 项控制措施，为组织提供全方位的信息安全保障。安全方针符合性信息安全组织业务持续性管理完整性保密性资产管理信息资产信息安全事件管理人力资源安全可用性信息系统的获取物理和环境安全开发和维护访问控制通信与操作安全安全方针管理层应对信息安全提出明确目标，并制定出可操作的安-精品文档-精品文档就在这里- 各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有-全管理策略，为信息安全提供管理指导和支持。安全组织在组织内建立信息安全组织、管理与第三方有关、及外包管理安全问题。资产分类与管理对与信息技术有关的资产进行分类，加强与信息技术有关的资产分类管理，并对这些资产就

7、价值和重要性进行分类标识，实施不同安全措施对这些资产进行保护。人力资源安全明确工作人员在招聘、雇佣、解聘过程中所涉及的信息保密等安全问题，加强对工作人员信息安全培训与教育，提高工作人员安全防范意识，减少人为错误、偷窃、欺诈或滥用信息及处理设施的风险。物理和环境安全分析安全威胁来源，划分物理安全区域，加强对后台计算机服务器与用户桌面计算机的保护，防止因水、火、盗窃、雷电、电力供应、化学腐蚀等因素带来的安全威胁，并制定计算机设备引进、日常运行、销毁处理程序和办法。通信与操作管理覆盖应用系统日常运营和维护程序、 服务水平管理、网络管理、存储介质管理、防恶意软件攻击保护、系统和数据备份与恢复管理、信息

8、交换管理等，确保信息处理设施正确和安全运行。访问控制定义用户存取控制策略，管理用户存取过程，包括对网络存取控制、操作系统、应用系统及移动设备和远程工作设备进行存取控制。系统的获取、开发和维护明确应用系统安全需求，包括输入数据校验、输出数据校验、业务处理过程校验、传输数据认证等 ;确定加密控制办法，包括加密、数字签名、不可否认服务、密钥管理等管控办法 ;确定系统文件的安全保护办法，以及开发和支持过程的安全管理办法。确保将安全纳入信息系统的整个生命周期。信息安全事件管理确保安全事件发生后有正确的处理流程和报告方式。-精品文档-精品文档就在这里- 各类专业好文档，值得你下载，教育，管理，论文，制度，

9、方案手册，应有尽有-业务持续性管理定义业务持续性管理过程，业务持续性和影响过程分析，制定和执行切实可行的业务持续性计划，定期测试、维护、演练、重新评估业务持续性计划。防止业务活动的中断，并保护关键的业务过程免受重大故障或灾难的影响。符合性识别现有适用的法律法规，保护个人信息的隐私 ;使用合法的、正版的系统软件与应用软件 ;加强计算机安全审计，保障技术和安全策略的合规性的合规性。避免违反任何刑法和民法、法律法规或合同义务以及任何安全要求。三信息安全管理体系认证BS7799-2 从 1998 年颁布后，在全世界范围内得到广泛的认可。 目前已有 40 多个国家和地区开展信息安全管理体系的认证。 根据

10、信息安全管理体系国际使用者协会（ ISMS International User Group）的最新统计，到 2005 年底，全球通过信息安全管理体系 BS 7799-2 认证的组织已经超过 2000 家。信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性， 不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、 IC 制造和软件外包等行业。对组织来说，符合 ISO27001/BS7799 标准并且获得信息安全管理体系认证证书，虽然不能证明组织达到了 100的安全，但通过信息安全管理体系的认证能够强有力保障组织

11、的信息资产的保密性、完整性和可用性，并能带来如下好处：加强公司信息资产的安全性、保障业务持续性与紧急恢复强化员工的信息安全意识，规范组织信息安全行为减少可能潜在的风险隐患，减少信息系统故障、人员流失带来的经济损失维护企业的声誉、品牌和客户信任，维持竞争优势满足客户和法律法规要求2010 年读书节活动方案-精品文档-精品文档就在这里- 各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有-一、活动目的：书是人类的朋友，书是人类进步的阶梯！为了拓宽学生的知识面，通过开展“和书交朋友，遨游知识大海洋”系列读书活动，激发学生读书的兴趣，让每一个学生都想读书、爱读书、会读书，从小养成热

12、爱书籍，博览群书的好习惯，并在读书实践活动中陶冶情操，获取真知，树立理想！二、活动目标：、通过活动，建立起以学校班级、个人为主的班级图书角和个人小书库。、通过活动，在校园内形成热爱读书的良好风气。3、通过活动，使学生养成博览群书的好习惯。、通过活动，促进学生知识更新、思维活跃、综合实践能力的提高。三、活动实施的计划、 做好读书登记簿1） 每个学生结合实际，准备一本读书登记簿，具体格式可让学生根据自己喜好来设计、装饰，使其生动活泼、各具特色，其中要有读书的内容、容量、实现时间、好词佳句集锦、心得体会等栏目，高年级可适当作读书笔记。2） 每个班级结合学生的计划和班级实际情况，也制定出相应的班级读书目标和读书成长规划书，其中要有措施、有保障、有