信息安全管理體系介紹.ppt

,信息安全管理體系介紹,主 題,一、信息安全管理體系簡介 二、信息安全管理體系現(xiàn)狀 三、政府關(guān)注信息安全管理體系認(rèn)證,信息安全管理體系,信息安全是一個廣泛而抽象的概念，不同領(lǐng)域不同方面對其概念的闡述都會有所不同。建立在網(wǎng)絡(luò)基礎(chǔ)之上的現(xiàn)代信息系統(tǒng)， 其安全定義較為明確， 那就是： 保護(hù)信息系統(tǒng)的硬件、軟件及相關(guān)數(shù)據(jù)，使之不因為偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行。在商業(yè)和經(jīng)濟(jì)領(lǐng)域，信息安全主要強(qiáng)調(diào)的是消減并控制風(fēng)險，保持業(yè)務(wù)操作的連續(xù)性，并將風(fēng)險造成的損失和影響降低到最低程度。 信息作為一種資產(chǎn)，是企業(yè)或組織進(jìn)行正常商務(wù)運(yùn)作和管理不可或缺的資源。從最高層次來講，信息安全關(guān)系到國家的安全；對組織機(jī)構(gòu)來說，信息安全關(guān)系到正常運(yùn)作和持續(xù)發(fā)展；就個人而言，信息安全是保護(hù)個人隱私和財產(chǎn)的必然要求。無論是個人、組織還是國家，保持關(guān)鍵的信息資產(chǎn)的安全性都是非常重要的。信息安全的任務(wù)，就是要采取措施（技術(shù)手段及有效管理）讓這些信息資產(chǎn)免遭威脅，或者將威脅帶來的后果降到最低程度，以此維護(hù)組織的正常運(yùn)作。 據(jù)美國FBI統(tǒng)計，美國每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟(jì)損失高達(dá)100多億美元，還有日益增加的趨勢，那么，信息安全問題主要是由哪方面的原因引起呢？據(jù)有關(guān)部門統(tǒng)計，在所有的計算機(jī)安全事件中，約有52%是人為因素造成的，25%由火災(zāi)、水災(zāi)等自然災(zāi)害引起，技術(shù)錯誤占10%，組織內(nèi)部人員作案占10%，僅有3%左右是由外部不法人員的攻擊造成。簡單歸類，屬于管理方面的原因比重高達(dá)70%以上，也就是說，真正的信息安全是需要系統(tǒng)的管理來保證的,信息安全應(yīng)具備以下幾個方面的特征： a） 保密性 - 確保信息僅允許授權(quán)人員訪問。 b） 完整性 - 信息及其處理方法的準(zhǔn)確和全面。 c） 可用性 - 確保在需要時，授權(quán)用戶能訪問 到信息、接觸到相關(guān)資產(chǎn)。,對信息安全而言，應(yīng)主要考慮以下幾種信息類型的安全 a）內(nèi)部信息 組織不對外公開的信息。 b）客戶信息 客戶不想讓組織泄露 的信息。 c）共享信息 組織需要與其他貿(mào)易 合作伙伴分享的信息。,信息安全管理體系 發(fā)展歷程：,1995年英國標(biāo)準(zhǔn)協(xié)會頒布了指南性標(biāo)準(zhǔn) BS7799-1:1995信息安全管理實施細(xì)則,1999年，BS7799-1:1995修訂后再次由英國標(biāo)準(zhǔn)協(xié)會頒布，BS7799-2信息安全管理體系規(guī)范也在同年頒布。,2000年12月1日，BS7799第一部分成為ISO17799國際標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)2005年經(jīng)過最新改版，發(fā)展成為ISO/IEC 17799:2005標(biāo)準(zhǔn)。,信息安全管理體系認(rèn)證,認(rèn)證(Certification)是第三方依據(jù)程序?qū)Ξa(chǎn)品、過程、服務(wù)符合規(guī)定的要求給予書面保證（合格證書），認(rèn)證的基礎(chǔ)是標(biāo)準(zhǔn)，認(rèn)證的方法包括對產(chǎn)品的特性的抽樣檢驗和對組織體系的審核與評定，認(rèn)證的證明方式是認(rèn)證證書與認(rèn)證標(biāo)志。認(rèn)證是第三方所從事的活動，通過認(rèn)證活動，組織可以對外提供某種信任與保證，如產(chǎn)品質(zhì)量保證、信息安全保證等。 目前，世界上普遍采用的信息安全管理體系的認(rèn)證標(biāo)準(zhǔn)是英國標(biāo)準(zhǔn)協(xié)會的信息安全管理委員會指導(dǎo)下制定的ISO/IEC27001：2005信息安全管理體系規(guī)范。 組織實施信息安全管理體系認(rèn)證，就是根據(jù)BS7799標(biāo)準(zhǔn)，建立完整的信息安全管理體系，達(dá)到動態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預(yù)防為主的信息安全管理方式，用最低的成本，達(dá)到可接受的信息安全水平，從根本上保證業(yè)務(wù)的持續(xù)性。,認(rèn)證的目的和作用,信息安全管理第三方認(rèn)證為組織的信息安全體系提供客觀公正的評價，使組織在信息安全管理方面有更大的可信性，并且能夠使用證書向利益相關(guān)的組織提供保證；同時，認(rèn)證能夠促進(jìn)組織間的貿(mào)易關(guān)系，提高跨行業(yè)的信息安全管理水平，從整體上有利于各國的全球貿(mào)易的開展。 信息安全管理體系可以保證組織提供可靠的信息安全服務(wù)，對該體系進(jìn)行認(rèn)證可以樹立組織信息安全形象，為客戶、合作者提供信息安全信任感，有利于組織業(yè)務(wù)活動的開展，特別是當(dāng)信息安全構(gòu)成組織所提供產(chǎn)品或服務(wù)的一個質(zhì)量特性時，如金融、電信等服務(wù)組織，開展ISO27001體系認(rèn)證對外具有很強(qiáng)的質(zhì)量保證作用。 在我國加入以后，無論在中國還是在國外，都是全球一體化的競爭。并且，這個時代的顯著特征是風(fēng)險的頻率和規(guī)模越來越大。在信息時代，所有的企業(yè)，不論其規(guī)模、結(jié)構(gòu)、性質(zhì)或產(chǎn)業(yè)是什么，提供給用戶的各類服務(wù)，其前提條件一定要是安全的服務(wù)。因此，信息安全和風(fēng)險管理都將是必不可少的。ISO27001國際認(rèn)證不僅僅是衡量組織信息安全管理水平的標(biāo)準(zhǔn)，也已經(jīng)成為組織具有更高規(guī)范管理水平和競爭力的標(biāo)志。比如，在軟件或集成電路等很多產(chǎn)業(yè)之間的競爭，已經(jīng)發(fā)展成為價值鏈與價值鏈之間的競爭。假如我國企業(yè)沒有通過ISO27001等國際標(biāo)準(zhǔn)認(rèn)證的管理體系，其管理水平和國際競爭力將大打折扣，從而有可能錯失一些外包訂單或失去與國際大廠商合作的機(jī)會。反之，構(gòu)建基于ISO27001等國際標(biāo)準(zhǔn)的管理體系，將極大地提升中國企業(yè)的國際競爭力水平。,信息安全管理體系現(xiàn)狀,目前，我國實際發(fā)生的安全事件，很多是由于管理不到位、責(zé)任不落實造成的。從國際上講，據(jù)2002年美國FBI統(tǒng)計，83%的信息安全事故是內(nèi)部人員或內(nèi)外勾結(jié)所為，而且呈上升的趨勢。防內(nèi)為主，內(nèi)外兼防，需要從提高使用節(jié)點自身的安全著手，構(gòu)建積極、綜合的防護(hù)系統(tǒng)。一般來講，組織的信息安全需求有以下幾個來源：,(1） 法律法規(guī)與合同條約的要求,（2） 組織自身業(yè)務(wù)持續(xù)性發(fā)展的要求,（3） 客戶的要求, 能全面了解自身的重要信息資產(chǎn)和信息安全現(xiàn)狀，使企業(yè)的信息安全得到有效管理和控制 加強(qiáng)公司信息資產(chǎn)的安全性，保障業(yè)務(wù)持續(xù)開展與緊急恢復(fù) 強(qiáng)化員工的信息安全意識， 規(guī)范組織信息安全行為 減少可能潛在的風(fēng)險隱患，減少信息系統(tǒng)故障、人員流失帶來的經(jīng)濟(jì)損失；,建立信息安全管理體系的 必要性, 維護(hù)公司的聲譽(yù)、品牌和客戶 信任，保持競爭優(yōu)勢； 保證公司商業(yè)安全，給投資方帶來企業(yè)持續(xù)發(fā)展的信心； 使組織的生意伙伴和客戶對組織充滿信心 滿足客戶和法律法規(guī)要求。,建立信息安全管理體系的 必要性,信息安全管理體系認(rèn)證情況,隨著企業(yè)對信息安全的重視，越來越多企業(yè)在建立信息安全管理體系的同時也尋求信息安全管理體系的認(rèn)證。具信息安全管理體系國際用戶組織（ISMS IUG）統(tǒng)計，截至2007年10月份，全球已有4000多家企業(yè)通過信息安全管理體系標(biāo)準(zhǔn)ISO/IEC27001認(rèn)證。通過認(rèn)證企業(yè)數(shù)量前5位的國家和地區(qū)的順序是：日本、英國、印度、臺灣和德國。全球通過認(rèn)證的最多的國家是日本已達(dá)2317家，可見日本政府和企業(yè)對信息安全管理的重視程度。 我國目前通過認(rèn)證的企業(yè)數(shù)量為近100家，通過認(rèn)證的企業(yè)有如華為、中興等高科技企業(yè)，有如大連華信等軟件和服務(wù)外包企業(yè)，也有廣東生益科技股份有限公司，可以說信息安全涉及到各行各業(yè)。,政府關(guān)注信息安全管理體系認(rèn)證,2002年 4月 認(rèn)監(jiān)委在中認(rèn)大廈召開國家ISMS認(rèn)證認(rèn)可高層研討會； 2002年11月 信安標(biāo)委WG7開始研究和制定ISMS國家標(biāo)準(zhǔn)； 2004年 4月 認(rèn)監(jiān)委在其辦公大樓會議室召開ISMS認(rèn)證認(rèn)可工作會議； 則”，該標(biāo)準(zhǔn)修改采用ISO/IEC17799:2000； 2005年 6月 我國發(fā)布第一個ISMS國家標(biāo)準(zhǔn)“GB/T19716-2005信息安全 管理實用規(guī)則”，該標(biāo)準(zhǔn)修