?

信息安全管理體系簡介

2020-02-29 作者:優德體育w88網站 83

優德體育w88網站信息安全是一個廣泛而抽象的概念,不同領域不同方面對其概念的闡述都會有所不同。建立在網絡基礎之上的現代信息系統,其安全定義較為明確,那就是:保護信息系統的硬件、軟件及相關數據,使之不因為偶然或者惡意侵犯而遭受破壞、更改及泄露,保證信息系統能夠連續、可靠、正常地運行。在商業和經濟領域,信息安全主要強調的是消減并控制風險,保持業務運營的連續性,并將風險造成的損失和影響降低到最低程度。

信息作為一種資產,是企業或組織進行正常業務運作和管理不可或缺的資源。從最高層次來講,信息安全關系到國家的安全;對組織機構來說,信息安全關系到業務正常運作和持續發展;對一個企業來說,生存發展是頭等大事,而企業的生存和發展,有賴于企業所特有的各項業務活動的健康有序的進行,對現代企業來說,高度信息化是必然之道,是企業一切業務、管理和運作活動所依賴的基礎之一;就個人而言,信息安全是保護個人隱私和財產的必然要求。無論是個人、組織還是國家,保持關鍵的信息資產的安全性都是非常重要的。信息安全的任務,就是要采取措施(技術手段及有效管理)讓這些信息資產免遭威脅,或者將威脅帶來的后果降到最低程度,以此維護組織的正常運作。

信息安全管理體系(InformationSecurityManagementSystem,簡稱ISMS)是組織整體管理體系的一個部分,是組織在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。基于對業務風險的認識,ISMS包括建立、實施、操作、監視、復查、維護和改進信息安全等一系列的管理活動,并且表現為組織結構、策略方針、計劃活動、目標與原則、人員與責任、過程與方法、資源等諸多要素的集合。

ISO/IEC27001:2005就是建立和維護信息安全管理體系的標準,是國際最具權威的適用于各類組織的信息安全整體解決方案,它要求通過PDCA過程來建立ISMS框架:確定體系范圍,制定信息安全策略,明確管理職責,通過風險評估確定控制目標和控制方式。體系一旦建立,組織應該實施、維護和持續改進ISMS,保持體系運作的有效性。同時,ISO/IEC27001:2005也非常強調信息安全管理過程中文件化的工作,ISMS的文件體系應該包括安全策略、適用性聲明(選擇與未選擇的控制目標和控制措施)、實施安全控制所需的程序文件、ISMS控制和操作程序,以及組織圍繞ISMS開展的所有活動的證明材料。除此之外,它還提供了國際上知名企業在信息安全方面的133個良好實踐慣例,通過對組織中涉及信息安全的11大領域實施這133個控制措施來達到涵蓋整個組織信息安全的39個控制目標,從而實現整個組織的業務持續發展戰略。

隨著信息技術的高速發展,特別是Internet的迅速普及和電子政務、電子商務的興起,許多信息安全的問題也紛紛出現:系統癱瘓、黑客入侵、病毒感染、網絡釣魚、網頁篡改、企業或機構資料與商業秘密泄露、核心技術被竊等等。這些信息安全問題給組織的經營管理、業務持續發展甚至生存都帶來嚴重的影響。

去年6月,公安部對2006年度信息網絡安全狀況的調查結果顯示,一些單位信息安全事件處置方法和手段單一,防范措施不完善,網絡安全管理人員不足、專業素質有待提高,被調查單位信息安全管理水平整體上仍滯后于信息化發展要求,我國計算機病毒本土化制作、傳播的趨勢更加明顯。

網絡安全事件調查顯示,2005年5月至2006年5月,54%的被調查單位發生過信息網絡安全事件,其中發生過3次以上的占22%,比去年上升7%。感染計算機病毒、蠕蟲和木馬程序仍然是最突出的網絡安全情況,占發生安全事件總數的84%;“遭到端口掃描或網絡攻擊”(36%)和“垃圾郵件”(35%)次之。金融證券行業發生網絡安全事件的比例最低,商業貿易、制造業、廣電和新聞、教育科研、互聯網和信息技術等行業發生網絡安全事件的比例較高。在發生的安全事件中,攻擊或傳播源來自外部的占50%;內外部均有的占34.5%,比去年上升10.5%。發現安全事件的途徑主要是網絡(系統)管理員通過技術監測發現,占54%;其次是通過安全產品報警發現,占46%;事后分析發現的占35%;未修補或防范軟件漏洞仍然是導致安全事件發生的最主要原因(73%)。

信息安全管理方面的調查顯示,83%的被調查單位設立了專職或兼職安全管理人員,11%的單位建立了安全組織。44%的被調查單位采購了信息安全服務,主要采購的服務有系統維護(79%)、安全檢測(60%),其次是容災備份與恢復(39%)、應急響應(31%)、信息安全咨詢(25%)。在采取安全管理和技術措施方面,68%的單位進行存儲備份,67%進行口令加密和訪問控制,56%制定了安全管理規章制度;近八成的被調查單位使用了防火墻和計算機病毒防治產品,其中防火墻產品中,73%的是國內產品;計算機病毒防治產品中,79%的是國內產品。

計算機病毒調查顯示,2006年計算機病毒感染率為74%;多次感染病毒的比率為52%,5、6月份出現了“敲詐者”木馬等盜取網上用戶密碼的計算機病毒。計算機病毒制造、傳播者利用病毒盜取QQ帳號、網絡游戲帳號和網絡游戲裝備,網上販賣計算機病毒,非法牟利的活動日益增多。計算機病毒發作造成損失的比例為62%。瀏覽器配置被修改、數據受損或丟失、系統使用受限、網絡無法使用、密碼被盜是計算機病毒造成的主要破壞后果;網絡瀏覽或下載仍是感染計算機病毒最多的途徑,通過優盤等移動存儲介質傳播病毒的比率明顯增加。

據統計,各種安全威脅對企業信息安全的影響指數是:特洛伊木馬、病毒、蠕蟲以及惡意代碼(無關源程序)占50%,間諜軟件占45%,垃圾軟件占44%,員工失誤(無心的)占39%,應用程序漏洞占37%,數據被員工或商業合作伙伴竊取占27%,黑客占36%,內部人員蓄意損壞占30%,無線LANs占30%,新技術的部署(如無線LANs,遠程訪問)占27%,商業合作伙伴的失誤(無心的)占24%,不屬競爭對手和網絡恐怖主義范疇的無意入侵者、員工或合作伙伴占20%,網絡恐怖主義占19%,不能遵循政府調整命令占16%,競爭者派來的間諜占15%。

統計數據表明,在所有的信息安全事件中,人為因素占52%,自然災害占25%,技術錯誤占10%,組織內部人員作案占10%,僅有3%左右是由外部不法人員的攻擊造成。屬于管理方面的原因比重高達70%以上,而這些安全問題中的95%是可以通過科學的信息安全管理來避免。如果企業或機構有一套系統全面的信息安全管理制度,并在企業或機構內部得到宣貫,90%的信息安全威脅都是可以避免的。

? 貔喜网络脉动棋牌
快乐真人麻将安装 广西快乐十分加盟 黑龙江快乐10分走 心水一点必中特打一肖平台 星悦福建麻将下载 2018年3d所有 配股是什么意思 不用网络捕鱼单机版 微乐捉鸡麻将下载 黑龙江十一选五走势图 股票配资平台都找天牛宝股票配资可信 2020年中超联赛开赛时间 兴动哈尔滨麻将安卓版3010 广西快乐10分开奖号码分布图 麻将下载安装 捕鱼所有网站