一
二、
在人類邁入信息息時(shí)代的今天,組織在分享著現(xiàn)代科技帶來(lái)便利的同時(shí),也面臨著信息安全的威脅。如何既能享用現(xiàn)代信息系統(tǒng)的快捷方便,又能充分防范信息的損壞和泄露,已成為當(dāng)前企業(yè)迫切需要解決的問(wèn)題。專家研究表明,信息安全在于保證信息的保密性、完整性、可用性三種屬性不被破壞。信息安全可使信息避免一系列威脅,保障業(yè)務(wù)的連續(xù)性,最大限度地減少業(yè)務(wù)的損失,獲取相關(guān)方的信任,以最大限度地獲得投資和業(yè)務(wù)的回報(bào)。
“七分管理,三分技術(shù)”的信息安全原則表明,解決信息安全問(wèn)題不應(yīng)僅從技術(shù)方著手,同時(shí)更應(yīng)加強(qiáng)信息安全的管理工作,通過(guò)建立正規(guī)的信息安全管理體系以達(dá)到系統(tǒng)、全面地解決信息安全問(wèn)題。ISO/IEC 27001標(biāo)準(zhǔn)目前是國(guó)際上公認(rèn)的實(shí)現(xiàn)信息安全管理的最佳標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)強(qiáng)調(diào)以風(fēng)險(xiǎn)管理為基礎(chǔ)的、全面的安全管理,目前該方法在世界范圍內(nèi)得到了廣泛的認(rèn)可。
三、
ISO 27001:2005是建立信息安全管理體系(ISMS)的一套需求規(guī)范(Information Security. Security techniques. Information security management systems. Requirements),其中詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理體系的要求,指出實(shí)施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn),當(dāng)然,如果要得到最終的認(rèn)證(對(duì)依據(jù)ISO 27001:2005建立的ISMS進(jìn)行認(rèn)證),還有一系列相應(yīng)的注冊(cè)認(rèn)證過(guò)程。作為一套管理標(biāo)準(zhǔn),ISO 27001:2005指導(dǎo)相關(guān)人員怎樣去應(yīng)用ISO27002:2005,其最終目的,還在于建立適合組織需要的信息安全管理體系(ISMS)。
下表以標(biāo)準(zhǔn)原文目錄格式,列舉說(shuō)明了ISO 27001:2005的主要內(nèi)容。
