1、 信息及信息安全
信息像其他重要的商务资产一样,也是一种资产,对一个组织而言具有价值,因而需要被妥善保护。
信息安全使信息避免一系列威胁,保障了组织商务的连续性,大限度地减小组织的商务损失,顺利获取投资和商务回报。
信息可以以多种形式存在。它可以是打印或写在纸上(如:书面的财务报表等);电子形式存贮(如:一个组织ERP系统的备份磁带);通过邮件或用电子手段传输;显示在胶片上;表达在会话中。不论信息采用什么方式或采取什么手段共享和存贮,因为它有价值,应该得到妥善的保护。
信息安全主要体现在以下三个方面:
一是保密性。二是完整性。三是可用性。
一、信息安全管理体系建设项目划分成五个大的阶段,并包含25项关键的活动,如果每项前后关联的活动都能很好地完成,终就能建立起有效的ISMS,实现信息安全建设整体蓝图,接受ISO27001审核并获得认证更是水到渠成的事情。
1现状调研:从日常运维、管理机制、系统配置等方面对组织信息安全管理安全现状进行调研,通过培训使组织相关人员全面了解信息安全管理的基本知识。
2 风险评估:对组织信息资产进行资产价值、威胁因素、脆弱性分析,从而评估组织信息安全风险,选择适当的措施、方法实现管理风险的目的。
3 管理策划:根据组织对信息安全风险的策略,制定相应的信息安全整体规划、管理规划、技术规划等,形成完整的信息安全管理系统。
4 体系实施阶段:ISMS建立起来(体系文件正式发布实施)之后,要通过一定时间的试运行来检验其有效性和稳定性。
5 认证审核阶段:经过一定时间运行,ISMS达到一个稳定的状态,各项文档和记录已经建立完备,此时,可以提请进行认证
2、 建立信息安全管理体系的意义
组织可以参照信息安全管理模型,按照先进的信息安全管理标准ISO/IEC 27001:2005标准建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用低的成本,使信息风险的发生概率和结果降低到可接受水平,并采取措施保证业务不会因风险的发生而中断。
组织建立、实施与保持信息安全管理体系将会:
* 强化员工的信息安全意识,规范组织信息安全行为;
* 对组织的关键信息资产进行全面系统的保护,维持竞争优势;
* 在信息系统受到侵袭时,确保业务持续开展并将损失降到低程度;
* 使组织的生意伙伴和客户对组织充满信心;