课程详情

【课程详情】

IS027001信息安全管理体系发布时间：

IS027001基本介绍

内容索引

信息安全的定义

企业的信息安全现状

为什么要建立企业的信息安全管理体系

IS027001标准

IS027001的贯标过程和贯标计划

IS027001的认证过程

信息和信息安全的定义

信息

可以以多种形式存在。它可以是打印或写在纸上（如：书面的财务报表等）；电子形式存贮(如:一个组织ERP系统的备份磁带)；通过邮件或用电子手段传输；显示在胶片上；表达在会话中。

信息象其他重要的商务资产一样，也是一种资产，对一个组织而言具有价值，因而需要被妥善保护。

信息安全

使信息避免一系列威胁，了组织商务的连续性，限度地减小组织的商务损失，顺利获取投资和商务回报。

信息安全的维持可表征为：

A、机密性：确保信息仅可让获取的人士访问；

B、完整性：保护信息和处理方法的准确和完善；

C、可用性：确保人需要时可以获取信息和相应的资产。

还应该再考虑可控性、真实性和不可否认性等，称之为“六性”。

信息的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。

信息安全是通过执行一套适当的控制来达到的。可以是方针、惯例、程序、组织结构和软件功能来实现，这些控制方式需要确定，才能组织特定的安全目标的实现。

企业的信息安全现状

缺少信息安全管理论坛，安全导向不明确，管理支持不明显；组织信息系统管理制度不够健全；

缺少跨部门的信息安全协调机制；

保护特定资产以及完成特定安全过程的职责还不明确；

员工信息安全意识薄弱，缺少防范意识，外来人员很容易直接进入生产和工作场所；

组织信息系统主机房安全存在隐患，如：防火设施存在问题，与危险品仓库同处一幢办公楼等；

组织信息系统备份设备仍有欠缺；

组织信息系统安全防范技术投入欠缺；

软件知识产权保护欠缺；档案、记录等缺少可靠贮存场所；

缺少一旦发生意外时的生产经营连续性的措施和计划；

许多计数机处于不设防状态。

防范意识、管理措施、核心技术、安全产品，距离信息安全的要求相差很远。

各种重要数据和文件被滥用、泄露、丢失被盗。

据国外统计，企业信息受到的损失中，70%是由于内部员工的疏忽或者有意泄密造成的。

安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法律损失：

直接损失：丢失订单，减少直接收入，损失生产率；

间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市值或政治声誉；

法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。