本書第一部分已經(jīng)介紹過ISO20000中信息安全管理的目標(biāo)為“在所有服務(wù)活動中有效地管理信息安全”����。信息安全也可定義為“言息系統(tǒng)的硬件���、軟件及其系
統(tǒng)中的數(shù)據(jù)受到保護(hù)����,不因偶然的或者惡意的原因而遭到破壞、更改�����、泄露����,系統(tǒng)連續(xù)可靠正常地運(yùn)行,信息服務(wù)不中斷”����。
當(dāng)前信息安全的威脅已經(jīng)從令人煩惱的簡單的病毒變?yōu)槟軐φ麄(gè)企業(yè)造成重大破壞的混合威脅。據(jù)統(tǒng)計(jì)��,目前安全事故給各個(gè)公司造成的損失達(dá)到幾十億美元���。
對于大多數(shù)高級企業(yè)主管而言����,安全問題不再遙不可及了����,而是已經(jīng)在自己身旁發(fā)生�����。安全漏洞會大大降低公司的市場價(jià)值����,荏至威脅企業(yè)的生存����。即使最小的漏洞也能將公司的名譽(yù)、客戶的隱私信息和知識產(chǎn)權(quán)置于危險(xiǎn)之中��。從某種程度上說��,安全的信息系統(tǒng)是現(xiàn)代企業(yè)賴以生存的基礎(chǔ)�����,是企業(yè)的業(yè)務(wù)驅(qū)動�����,而不僅僅是信息技術(shù)的發(fā)展���。
信息安全管理是對已定義安全級別的信息和服務(wù)的管理過程�����。信息安全管理的職責(zé)就是通過適當(dāng)?shù)拇胧p少發(fā)生不可接受程度的服務(wù)失敗的概率�,信息安全是相對的�����,只要在可接受的范圍內(nèi)��,就認(rèn)為是安全的����。
信息安全框架主要由以下方面構(gòu)成:
信息安全管理體系通常由標(biāo)準(zhǔn)、流程和指南組成��。
完整的安全策略應(yīng)與業(yè)務(wù)戰(zhàn)略����、目標(biāo)和計(jì)劃保持一致。
有效的安全組織管理架構(gòu)��。
管理內(nèi)�、外部相關(guān)的資源(設(shè)備、人員、系統(tǒng)���、網(wǎng)絡(luò))執(zhí)行信息安全政策���。
確保流程的執(zhí)行符合信息安全策略和標(biāo)準(zhǔn)的要求。
確保合同(供應(yīng)商��、商業(yè)合作伙伴�、人員)中包含信息安全的控制能夠達(dá)成致并有效落實(shí)。
確保系統(tǒng)開發(fā)和獲取環(huán)節(jié)中的安全因素被考慮并落實(shí)��。在組織中提供信息安全建議和指導(dǎo)(比如:風(fēng)險(xiǎn)分析�、控制選擇)。
信息安全意識���、培訓(xùn)和教育��。
監(jiān)控�、測量�、測試和報(bào)告信息安全政策的執(zhí)行效率和效益。
確保不符合項(xiàng)被及時(shí)的發(fā)現(xiàn)并解決���。
信息安全框架或信息安全管理體系為開發(fā)兼顧成本與效益的信息安全流程提供了基礎(chǔ)�,以便支持商業(yè)目標(biāo),它涉及人員�、過程、產(chǎn)品和技術(shù)四個(gè)方面�,通過與合
作伙伴或供應(yīng)商的共同努力�,提供適當(dāng)級別的安全服務(wù)。在建立信息安全管理體系時(shí)候�����,我們可以借鑒參考ISO27001管理體系的要求��。
在線咨詢 
