证书查询 | 招贤纳士 | 加入收藏 | 联系我们 
企航
江苏省科技咨询协会会员单位
中国认证认可协会(CCAA)理事单位
全国六西格玛推进工作委员会委员单位
国际认证机构年度TS16949最佳辅导质量奖
东风汽车集团总部指定的华东区域管理咨询机构
国家认证认可监督管理委员会(CNCA)首批备案批准咨询单位
  BS7799信息安全管理体系介绍
BS7799信息安全管理体系介绍
  浏览次数:13350   

一、信息及信息安全

      信息象其他重要的商务资产一样,也是一种资产,对一个组织而言具有

价值,因而需要被妥善保护。信息安全使信息避免一系列威胁,保障了组织商

务的连续性,最大限度地减小组织的商务损失,顺利获取投资和商务回报。
    信息可以以多种形式存在。它可以是打印或写在纸上(如:书面的财务报表

等);电子形式存贮(如:一个组织ERP系统的备份磁带);通过邮件或用电子手

段传输;显示在胶片上;表达在会话中。不论信息采用什么方式或采取什么手

段共享和存贮,因为它有价值,应该得到妥善的保护。

     信息安全的维持可表征为:
         A、机密性:确保信息仅可让授权获取的人士访问;
         B、完整性:保护信息和处理方法的准确和完善;
         C、可用性:确保授权人需要时可以获取信息和相应的资产。

   

    信息安全是通过执行一套适当的控制来达到的。可以是方针、惯例、程

序、组织结构和软件功能来实现,这些控制方式需要确定,才能保障组织特定

的安全目标的实现。

 

二、信息安全的重要性

    信息及其支持过程的系统和网络都是组织的重要资产。信息的机密性、完

整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商

务形象都是至关重要的。

    任何组织及其信息系统(如一个组织的ERP系统)和网络都可能面临着包括

计算机辅助欺诈、刺探、阴谋破坏行为、火灾、水灾等大范围的安全威胁。随

着计算机的日益发展和普及,计算机病毒、计算机盗窃、服务器的非法入侵破

坏已变得日益普遍和错综复杂。

    目前一些组织,特别是一些较大型公司的业务已经完全依赖信息系统进行

生产业务管理,这意味着组织更易受到安全威胁的破坏。组织内网络的互连及

信息资源的共享增大了实现访问控制的难度。

    有些组织的信息系统尽管在设计时可能已考虑了安全,但仅仅依靠技术手

段实现安全仍然是有限的,还应当通过管理和程序来支持。

    至于应采取哪些控制方式则需要周密计划,并注意控制细节。信息安全管

理需要组织中的所有雇员的参与,比如为了防止组织外的第三方人员非法进入

组织的办公区域获取组织的技术机密,除物理控制外,还需要组织全体人员参

与,加强控制。此外还需要供应商,顾客或股东的参与,需要组织以外的专家

建议。

 

三、信息安全管理体系标准

    1995年,英国贸工部根据英国国内企业对信息安全日益高涨的呼声,组织

大企业的信息安全经理们,制定了世界上第一个信息安全管理体系标准BS7799-

1:1995《信息安全管理实施规则》,作为工商业和大、中、小型组织实施信息

安全管理的指南。由于该标准采用建议和指导方式编写,因而不宜作为认证标

准使用。

    1998年,为了适应第三方认证的需要,英国又制定了第一个信息安全管理

体系认证标准-- BS7799-2:1998《信息安全管理体系规范》,作为对一个组织

的全面或部分信息安全管理体系进行评审认证的依据标准。

    1999年,鉴于计算机和信息处理技术,尤其是网络和通信领域应用的迅速

发展,英国又对信息安全管理体系标准进行了修订。修订后的BS7799-1:1999

和BS7799-2:1999分别取代了BS7799-1:1995和BS7799-2:1998。新修订的

1999版标准进一步强调了组织在商务工作中所涉及的信息安全和信息安全责

任。

     BS7799-1:1999和BS7799-2:1999是一对配套标准,BS7799-1:1999为如

何建立和实施符合BS7799-2:1999标准要求的信息安全管理体系提供了最佳的

应用建议。

     令人鼓舞的是,2000年12月,BS7799-1:1999已经被ISO/IEC正式采纳成

为国际标准 -- ISO/IEC 17799:2000《信息技术 — 信息安全管理实施规

则》,另外,BS7799-2:1999也即将于2002年底被ISO/IEC作为蓝本修订后成为

可用于认证的ISO/IEC的《信息安全管理体系规范》。

 

四、建立信息安全管理体系(ISMS)对任何组织都具有重要意义

    任何组织,不论它在信息技术方面如何努力以及采纳如何新的信息安全技

术,实际上在信息安全管理方面都还存在漏洞,例如:

1. 缺少信息安全管理论坛,安全导向不明确,管理支持不明显;
    2. 缺少跨部门的信息安全协调机制;
    3. 保护特定资产以及完成特定安全过程的职责还不明确;
    4. 雇员信息安全意识薄弱,缺少防范意识,外来人员很容易直接进入生产和工

   作场所;
    5. 组织信息系统管理制度不够健全;
    6. 组织信息系统主机房安全存在隐患,如:防火设施存在问题,与危险品仓库

   同处一幢办公楼等;
    7. 组织信息系统备份设备仍有欠缺;
    8. 组织信息系统安全防范技术投入欠缺;
    9. 软件知识产权保护欠缺;
    10. 计算机房、办公场所等物理防范措施欠缺;
    11. 档案、记录等缺少可靠贮存场所;
    12. 缺少一旦发生意外时的保证生产经营连续性的措施和计划;

    …….等等

    通过以上信息管理方面的漏洞以及经常见诸报端的种种信息安全事件表

明,任何组织都急需建立信息安全管理体系,以保障其技术和商业机密,保障

信息的完整性和可用性,最终保持其生产、经营活动的连续性。

 

五、信息安全管理体系建立和运行步骤

    BS7799-2:1999标准要求组织建立并保持一个文件化的信息安全管理体

系,其中应阐述需要保护的资产、组织风险管理的渠道、控制目标及控制方式

和需要的保证程度。

    信息安全管理体系建立和运行步骤:
     1、 制定信息安全方针;
     2、 明确信息安全管理体系的范围,根据组织的特性、地理位置、资产和技术

     来确定界限;
     3、 实施适宜的风险评估,识别资产所受到的威胁、薄弱环节和对组织的影

     响,并确定风险程度;
     4、 根据组织的信息安全方针和需要的保证程度来确定应实施管理的风险;
     5、 从BS7799-2的第四部分“控制细则”中选择适宜的控制目标和控制方式

    (从36个目标,127种控制方式中选择);控制目标和控制方式的选择可以

     参考BS7799-1:1999《 信息安全管理体系实施细则》标准,如果标准中

     没有的控制目标和控制方式,组织可以也应选择一些其它适宜的控制方

     式。
    6、 制定可用性声明,将控制目标和控制方式的选择和选择理由文件化,并注

    明未选择BS7799-2 :1999第四部分中的任何内容及其理由;
    7、 有效地实施选定的控制目标和控制方式;
    8、 进行内部审核和管理评审,保证体系的有效实施和持续适宜。

 

六、中国质量认证中心BS7799-2:1999推行工作简介

    中国质量认证中心是目前国内唯一具有BS7799-2:1999建立与认证经历的

机构,早在1999年末,CQC厦门评审中心就组织审核员和专业人员翻译了BS7799

系列标准,并开展了国内最早的培训,2000初动员厦门人保推行BS7799-2:

1999,并于2000年8月-10月对该企业实施了认证审核。

    2001年,中心又指派了一名经验丰富的高级工程师/主任审核员对BS7799-2

信息安全管理体系(ISMS)的建立进行了深入的研究,全程参与广东某公司的

信息安全管理体系的建立和认证工作,为开展组织的信息安全体系积累丰富的

经验。

 课程需求提交
联 系 人:
固定电话:
电子邮件:
需求描述:
 联系方式
苏州企航科技管理咨询有限公司
全国热线:+86-512-67081658;67081628
传真电话:+86-512-67081628

值班电话:13862007316
企业地址:苏州宝带西路1099号汇金创业中心2号楼203A座(管理部)
 推荐课程
  CE欧盟电子产品强制认证管理体. 3天
  ISO27001信息安全管理体. 3天
  TL9000电信行业质量管理体. 2天
  ISO13485医疗器械行业质. 3天
  AS9100航空航天体系内审员 3天
  ISO22000:2005/H. 2天
  CCC中国电子产品强制认证管理. 2天
  ISO17025:2005实验. 2天
  SA8000社会责任管理体系国. 2天
  OHSAS18001:2007. 2天
  量规与仪校(内校员)国家注册内. 2天
  ISO/TS16949汽车行业. 3天
  ISO14001:2004环境. 2天
  IECQ HSPM QC080. 2天
  ISO9001:2008质量管. 2天
 
 
热门搜索:APQP培训、AS9100认证、FMEA培训公司、IATF16949认证咨询、ISO管理体系认证、ISO认证公司、ISO认证机构、PPAP培训、苏州AS9100认证、苏州ISO9001认证、体系咨询、五大工具培训、五大工具培训机构
企航网站地图 企航网络 技术支持 版权所有:苏州工业园区企航科技咨询有限公司 备案号:苏ICP备16025045号
公司地址:苏州市东吴北路68号苏美中心22F座(培训部)  苏州宝带西路1099号汇金创业中心2号楼203A座(管理部)