返回
关于构建ISO27001信息安全管理体系的意义.pdf

关于构建ISO27001信息安全管理体系的意义.pdf

ID:51246251

大小:579.34 KB

页数:2页

时间:2020-03-22

关于构建ISO27001信息安全管理体系的意义.pdf_第1页
关于构建ISO27001信息安全管理体系的意义.pdf_第2页
资源描述:

《关于构建ISO27001信息安全管理体系的意义.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、关于构建IS027001信息安全管理体系的意义胡鹏(中石化湖北石油分公司,湖北武汉430000)摘要:在计算机技术进入高速发展之后,网络技术得到全方位的应用,随之而来的信息安全问题,逐渐得到社会各界的关注。信息安全不仅在通讯和数据领域得到了十足的发展,更在计算机安全、通讯安全和网络安全等方面涉及广泛。通过IS027001信息安全管理体系,建立符合现代企业业务及管理的信息安全体系。完善信息化建设,削减安全漏洞,对企业长远发展具有重大意义。关键词:IS027001;信息安全管理体系;意义1IS027001信息安全管理体系的内涵简述1.1IS027001信息安全管理体系的起源与发展简述

2、随着全球信息化水平不断提高,信息安全逐浙成为社会各界的关注重点。尤其是在近些年一系列信息安全问题被媒体曝光之后,各行各业均加大了对信息安全的担忧。IS027001标准于1993年由英国贸易工业部立项,在1995首次出版了Bs7799-1:1995((信息安全管理实施细则》,该细则提供了一套完整的、由信息安全惯例所构建的信息安全管理体系。其目的是为了确定工商业信息系统在绝大部分情况下的所需控制范围具有统一的参考标准,并且能够适用于不同规模的组织。到2000年2月,BS7799-1:t999《信息安全管理实施细贝4》通过了国际标准化组织ISO的认可。到2002年9月,BS7799—2

3、:2002草案经过广泛讨论之后,正式进行发表成为了国际通用标准,同时废止了之前一版细则。在随后的几年内,该标准进行了多次修正,在组织编排和内容完整性上都有了大幅提高。到目前为止,IS027001标准已经获得了大量的国家认可,是全球范围内最具代表性的信息安全管理体系。1.2IS027001信息安全管理体系的好处IS027001信息安全管理体系标准可以有效地对信息资源形成保护,促使信息化进程有序健康可持续地发展。IS027001是信息安全管理领域的标准体系,类似于质量管理体系认证IS09000标准。当企业通过IS027001的认证,就等同于企业的信息安全管理是科学合理的,能够切实有效

4、地保护客户信息资料和企业内部信息资料。在通过IS027001信息安全管理体系认证之后,可以具有多个方面的好处或优势。引入信息安全管理体系后可以协调各个层面的信息管理,简化管理环节提高管理效率。通过IS027001信息安全管理体系认证,还可以增加企业之间电子商务往来的信用度,能够在网站和贸易伙伴之间建立起信任的合作关系,加深企业商务信息化发展。通过IS027001信息安全管理体系认证,可以促使相关企业实现信息安全承诺,消除客户及员工存有的不信任感,改善企业业绩。不仅如此,甚至还可以获得国际认可,以便于业务向海外拓展。2Is027∞1信息安全管理体系构建现状分析2.1信息安全现状分析

5、目前,市面上大多数企业都已经构建了适用的信息系统,主要包括了ERP系统、CIM系统、OA系统、PLM系统、网络系统、电子邮件系统以及企业网站等。在用户使用这些系统时,会遭遇相应的信息安全问题,比如存在于外网中的黑客攻击和病毒传染等,存在于内网中的病毒感染和信息泄露等问题。在一系列主流企业中,其计算机多采用分散管理,使用者对计算机具有很高的使用权限,经常会因为一些违规操作或误操作,给系统造成严重影响,给企业信息安全形成冲击。同时,由于计算机管理具有局限性,可能存在部分人员非法拆卸相关硬件,不仅造成企业经济损失,更会造成信息资源外泄。总的来说,大多数企业对涉及知识产权、客户资料和企业

6、资料等信息安全管理的工作并不到位,许多都是徒有其表,无法切实保证信息安全。2.2信息安全问题简述通过对一些企业实际调研就能发现,虽然企业构架了基础的网络系统,并且对上网行为进行了控制,但是仍然存在不少的问题。比如缺少有效的信息安全管理技术支持、缺少对信息安全管理相关事例的学习研究和缺少明确的控制管理规章制度等。总的来说,信息安全问题可以分为以下几类:一是缺乏信息安全制度,没有可以保证企业信息安全、推进信息安全建设和约束相关人员的具体制度;二是相关人员信息安全意识薄弱,在日常工作中缺少对企业信息安全的保护;三是信息泄露途径较多,各种外联设备或软件,都可能引发信息泄露;四是信息安全技

7、术缺乏,企业内部的信息安全管理多是通过文字条款在进行约束,缺少技术层面的规范。2.3信息安全的总体需求分析就目前我国企业的实际发展情况来看,需要参考信息安全的现状及存在问题,提出企业自身的信息安全需求。总的来说,信息安全需求可以分为以下几点:一是保护企业信息不遭受各种破坏,从企业内部和外部逐一排除可能存在的潜在威胁;二是确保公司业务正常进行,不会被意外情况打断,三是最小化企业风险,严控商业机密,避免商业机密泄露给企业带来毁灭性打击;四是最大化企业投资回报比,通过信息管理维持企业的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。