為何需要ISO27001信息安全管理體系?
發布時間:2025-06-24 點擊:20
問題解答:
今天,我們已經身處信息時代,在這個時代,“計算機和網絡”已經成為組織重要的生產工具,“信息”成為主要的生產資料和產品,組織的業務越來越依賴計算機、網絡和信息,它們共同成為組織賴以生存的重要信息資產。可是,計算機、網絡和信息等信息資產在服務于組織業務的同時,也受到越來越多的安全威脅。病毒破壞、黑客攻擊、信息系統癱瘓、網絡欺詐、重要信息資料丟失以及利用計算機網絡實施的各種犯罪行為,人們已不再陌生,并且這樣的事件好像經常在我們身邊發生。
這幾個案例僅僅是冰山一角,打開電視、翻翻報紙、瀏覽一下互聯網,類似這樣的事件幾乎每天都在發生。從這些案例可以看出,信息資產一旦遭到破壞,將給組織帶來直接的經濟損失、損害組織的聲譽和公眾形象,使組織喪失市場機會和競爭力,更為甚者,會威脅到組織的生存。
長久以來,很多人自覺不自覺地都會陷入技術決定一切的誤區當中,尤其是那些出身信息技術行業的管理者和操作者。最早的時候,人們把信息安全的希望寄托在加密技術上面,認為一經加密,什么安全問題都可以解決。隨著互連網絡的發展,一段時期我們又常聽到"防火墻決定一切"的論調。及至更多安全問題的涌現,入侵檢測、PKI、VPN 等新的技術應用被接二連三地提了出來,但無論怎么變化,還是離不開技術統領信息安全的路子。可這樣的思路能夠真正解決安全問題嗎?也許可以解決一部分,但卻解決不了根本。實際上,對安全技術和產品的選擇運用,這只是信息安全實踐活動中的一部分,只是實現安全需求的手段而已。信息安全更廣泛的內容,還包括制定完備的安全策略,通過風險評估來確定需求,根據需求選擇安全技術和產品,并按照既定的安全策略和流程規范來實施、維護和審查安全控制措施。歸根到底,信息安全并不是技術過程,而是管理過程。
之所以有這樣的認識誤區,原因是多方面的,從安全產品提供商的角度來看,既然側重在于產品銷售,自然從始至終向客戶灌輸的都是以技術和產品為核心的理念。而從客戶角度來看,只有產品是有形的,是看得見摸得著的,對決策投資來說,這是至關重要的一點,而信息安全的其他方面,比如無形的管理過程,自然是遭致忽略。
正是因為有這樣的錯誤認識,我們就經常看到:許多組織使用了防火墻、IDS、安全掃描等設備,但卻沒有制定一套以安全策略為核心的管理措施,致使安全技術和產品的運用非常混亂,不能做到長期有效和更新。即使組織制定有安全策略,卻沒有通過有效的實施和監督機制去執行,使得策略空有其文成了擺設而未見效果。
實際上對待技術和管理的關系應該有充分理性的認識:技術是實現安全目標的手段,管理是選擇、實施、使用、維護、審查包括技術措施在內的安全手段的整個過程,是實現信息安全目標的必由之路。
在現實的信息安全管理決策當中,必須關注以下幾點:
應該制定信息安全方針和多層次的安全策略,以便為各項信息安全管理活動提供指引和支持;
應該通過風險評估來充分發掘組織真實的信息安全需求;
應該遵循預防為主的理念;
應該加強人員安全意識和教育;
管理層應該足夠重視并提供切實有效的支持;
應該持有動態管理、持續改進的思想;
應該以業務持續發展為目標,達成信息安全控制的力度、使用的便利性以及成本投入之間的平衡。
因此,保護信息資產,解決信息安全問題,已經成為組織必須考慮的問題。信息安全問題出現的初期,人們主要依靠信息安全的技術和產品來解決信息安全問題。技 術和產品的應用,一定程度上解決了部分信息安全問題。但是人們發現僅僅靠這些產品和技術還不夠,即使采購和使用了足夠先進、足夠多的信息安全產品,如防病 毒、防火墻、入侵檢測、隱患掃描等,仍然無法避免一些信息安全事件的發生,組織安裝的許多安全產品成了“聾子的耳朵”。與組織中人員相關的信息安全問題, 信息安全成本和效益的平衡問題,信息安全目標、業務連續性、信息安全相關法規符合性等問題,依靠產品和技術是解決不了的。
人們開始逐漸意識到管理在解決信 息安全問題中的作用。于是ISMS應運而生。2000年12月,國際標準化組織發布一個信息安全管理的標準-ISO/IEC 17799:2000“信息安全管理實用規則(Code of practice for information security management)”,2005年6月,國際標準化組織對該標準進行了修訂,頒布了ISO/IEC17799:2005(現已更名為ISO /IEC27002:2005),10月,又發布了ISO/IEC27001:2005“信息安全管理體系要求(Information Security Management System Requirement)”。自此,ISMS在國際上確立并發展起來。今天,ISMS已經成為信息安全領域的一個熱門話題。
iso28000認證需要準備哪些材料
高新技術企業認定辦理流程
申請中國環保產品需要哪些資料?
兩化融合貫標簡介,兩化融合貫標門檻“單項應用”及兩線融合貫標好處
知識產權代理公司對侵權保護能以自身名義起訴侵權人嗎
質量問題產生的根源,怎樣做好質量管理工作?
領導層hse管理體系內審的內容有哪些?
ISO9001認證的標準_實施ISO9001認證有什么意義(iso9001與14001)
這幾個案例僅僅是冰山一角,打開電視、翻翻報紙、瀏覽一下互聯網,類似這樣的事件幾乎每天都在發生。從這些案例可以看出,信息資產一旦遭到破壞,將給組織帶來直接的經濟損失、損害組織的聲譽和公眾形象,使組織喪失市場機會和競爭力,更為甚者,會威脅到組織的生存。
長久以來,很多人自覺不自覺地都會陷入技術決定一切的誤區當中,尤其是那些出身信息技術行業的管理者和操作者。最早的時候,人們把信息安全的希望寄托在加密技術上面,認為一經加密,什么安全問題都可以解決。隨著互連網絡的發展,一段時期我們又常聽到"防火墻決定一切"的論調。及至更多安全問題的涌現,入侵檢測、PKI、VPN 等新的技術應用被接二連三地提了出來,但無論怎么變化,還是離不開技術統領信息安全的路子。可這樣的思路能夠真正解決安全問題嗎?也許可以解決一部分,但卻解決不了根本。實際上,對安全技術和產品的選擇運用,這只是信息安全實踐活動中的一部分,只是實現安全需求的手段而已。信息安全更廣泛的內容,還包括制定完備的安全策略,通過風險評估來確定需求,根據需求選擇安全技術和產品,并按照既定的安全策略和流程規范來實施、維護和審查安全控制措施。歸根到底,信息安全并不是技術過程,而是管理過程。
之所以有這樣的認識誤區,原因是多方面的,從安全產品提供商的角度來看,既然側重在于產品銷售,自然從始至終向客戶灌輸的都是以技術和產品為核心的理念。而從客戶角度來看,只有產品是有形的,是看得見摸得著的,對決策投資來說,這是至關重要的一點,而信息安全的其他方面,比如無形的管理過程,自然是遭致忽略。
正是因為有這樣的錯誤認識,我們就經常看到:許多組織使用了防火墻、IDS、安全掃描等設備,但卻沒有制定一套以安全策略為核心的管理措施,致使安全技術和產品的運用非常混亂,不能做到長期有效和更新。即使組織制定有安全策略,卻沒有通過有效的實施和監督機制去執行,使得策略空有其文成了擺設而未見效果。
實際上對待技術和管理的關系應該有充分理性的認識:技術是實現安全目標的手段,管理是選擇、實施、使用、維護、審查包括技術措施在內的安全手段的整個過程,是實現信息安全目標的必由之路。
在現實的信息安全管理決策當中,必須關注以下幾點:
應該制定信息安全方針和多層次的安全策略,以便為各項信息安全管理活動提供指引和支持;
應該通過風險評估來充分發掘組織真實的信息安全需求;
應該遵循預防為主的理念;
應該加強人員安全意識和教育;
管理層應該足夠重視并提供切實有效的支持;
應該持有動態管理、持續改進的思想;
應該以業務持續發展為目標,達成信息安全控制的力度、使用的便利性以及成本投入之間的平衡。
因此,保護信息資產,解決信息安全問題,已經成為組織必須考慮的問題。信息安全問題出現的初期,人們主要依靠信息安全的技術和產品來解決信息安全問題。技 術和產品的應用,一定程度上解決了部分信息安全問題。但是人們發現僅僅靠這些產品和技術還不夠,即使采購和使用了足夠先進、足夠多的信息安全產品,如防病 毒、防火墻、入侵檢測、隱患掃描等,仍然無法避免一些信息安全事件的發生,組織安裝的許多安全產品成了“聾子的耳朵”。與組織中人員相關的信息安全問題, 信息安全成本和效益的平衡問題,信息安全目標、業務連續性、信息安全相關法規符合性等問題,依靠產品和技術是解決不了的。
人們開始逐漸意識到管理在解決信 息安全問題中的作用。于是ISMS應運而生。2000年12月,國際標準化組織發布一個信息安全管理的標準-ISO/IEC 17799:2000“信息安全管理實用規則(Code of practice for information security management)”,2005年6月,國際標準化組織對該標準進行了修訂,頒布了ISO/IEC17799:2005(現已更名為ISO /IEC27002:2005),10月,又發布了ISO/IEC27001:2005“信息安全管理體系要求(Information Security Management System Requirement)”。自此,ISMS在國際上確立并發展起來。今天,ISMS已經成為信息安全領域的一個熱門話題。
iso28000認證需要準備哪些材料
高新技術企業認定辦理流程
申請中國環保產品需要哪些資料?
兩化融合貫標簡介,兩化融合貫標門檻“單項應用”及兩線融合貫標好處
知識產權代理公司對侵權保護能以自身名義起訴侵權人嗎
質量問題產生的根源,怎樣做好質量管理工作?
領導層hse管理體系內審的內容有哪些?
ISO9001認證的標準_實施ISO9001認證有什么意義(iso9001與14001)