ISO27000信息安全体系

　　一.当前企业面临的信息安全的风险

　　随着以计算机和网络通信为代表的信息技术(IT)的迅猛发展，政府部门、金融机构、企事业单位和商业组织对IT 系统的依赖也日益加重，而智能手机、邮件、即时通讯工具(微信、QQ等)的大面积使用，信息技术几乎渗透到了世界各地和社会生活的方方面面。

　　信息管理方面的漏洞以及经常见诸报端的种种信息安全事件表明，任何组织都急需建立信息安全管理体系，以保障其技术和商业机密，保障信息的完整性和可用性，保持其生产、经营活动的连续性。

　　二.什么是信息安全

　　信息像其他重要的商务资产一样，也是一种资产，对一个组织而言具有价值，因而需要被妥善保护。信息安全使信息避免一系列威胁，保障了组织商务的连续性，大限度地减小组织的商务损失，顺利获取投资和商务回报。信息可以以多种形式存在。它可以是打印或写在纸上(如：书面的财务报表等);电子形式存贮(如:一个组织ERP系统的备份磁带);通过邮件或用电子手段传输;显示在胶片上;表达在会话中。不论信息采用什么方式或采取什么手段共享和存贮，因为它有价值，应该得到妥善的保护。

　　信息安全主要体现在以下三个方面：

　　一是保密性。

　　二是完整性。

　　三是可用性。

　　三.ISO27001信息安全管理体系介绍

　　ISO 27001标准把信息资料看作是公司的资产，其对公司的生存与发展起着关键作用，尤其是在知识经济和电子信息时代，确保信息安全更是非常有必要的。英国曾做过一项统计，百分之80的信息资料的损失是与人为因素有关的。所以防止人为因素造成的信息风险被作为信息安全的主要控制对象。

　　ISO 27001信息安全管理体系一个重要的方面是对信息风险的分析与管理。信息风险涉及可能造成信息损失的方方面面。比如电脑病毒有导致信息资料丢失或损坏的危险，可规定定期进行电脑病毒的检查;外来人员进入本公司，有导致信息资料失窃的危险，可规定采用门口设密码、电子卡等方式进入公司;更新电脑软件有导致信息资料无法读取的风险，可规定在进行电脑软件的更新时对电脑软件的兼容性进行评估;聘请外公司人员为本公司工作，本公司信息资料有流失的危险，在这种情况下须与外公司人员签订保密协议;在审核磁盘资料时，有可能导致磁盘文件被更改，可设置程序保证审核人员使用只可读不可改的文件或备份文件;以及防止内部人员和工业间谍的窃取，拷贝的软盘与电脑分别存放于不同的房间，作废的文件资料监视销毁等。

　　具体在信息安全体系策划时，需要根据公司的实际运行过程、环境、涉及的信息系统和工具等，进行风险分析及有针对性的制定措施。信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的，由于新的威胁不断出现，信息安全管理是一个相对的、动态的过程，企业能做到的就是要不断改进自身的信息安全状态，将信息安全风险控制在企业可接受的范围之内，获得企业现有条 件下和资源能力范围内大程度的安全。

　　信息安全是通过执行一套适当的控制来达到的。可以是方针、惯例、程序、组织结构和软件功能来实现，这些控制方式需要确定，才能保障组织特定的安全目标的实现。

　　●ISO27001体系目标

　　采用信息安全管理体系(ISO27001)是组织的一项战略性决策。信息安全管理体系通过应用风险管理过程来保持组织核心信息的保密性、完整性和可用性，并给相关方建立风险得到充分管理的信心。

　　●ISO27001体系作用

　　信息安全管理体系通过建立一整套的体系手册、SOA、程序文件、安全策略，保障组织的核心信息的安全性。信息安全管理体系包含15个控制域和113个控制措施，对组织的物理安全、网络安全、人员安全、运行安全、访问控制安全、系统安全、供应商安全等方面进行管控，保障组织的核心信息的安全性。

　　●建立信息安全管理体系的意义

　　组织可以参照信息安全管理模型，按照先进的信息安全管理标准ISO 27001标准建立组织完整的信息安全管理体系并实施与保持，达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式，用低的成本，使信息风险的发生概率和结果降低到可接受水平，并采取措施保证业务不会因风险的发生而中断。组织建立、实施与保持信息安全管理体系将会：

　　●强化员工的信息安全意识，规范组织信息安全行为;

　　●对组织的关键信息资产进行系统的保护，维持竞争优势;

　　●在信息系统受到侵袭时，确保业务持续开展并将损失降到很低程度;

　　●使组织的生意伙伴和客户对组织充满信心。