正規ISO認證,國家認監委可查,一個月左右下證,包輔導包通過,不過退款 
ISO9001質量認證平臺
深圳iso認證全包式服務
輔導-認證-包過-低價
 李老師:15220227293

          0755-21033850

ISO9001 quality certification platform
在線客服
 工作時間
周一至周五 :8:30-17:30
周六至周日 :9:00-17:00
 聯系方式
QQ:1801949861
電話::15220227293
iso認證詳情

ISO27001信息安全體系的安全治理規范

發表時間:2021-09-12 09:06作者:電話15220227293

ISO27001信息安全體系的安全治理規范



《信息系統安全指南》用于協助國家和企業構建信息系統安全框架。美國、OECD的其他23個成員國,以 及十幾個非OECD成員國家都批準了這一指南。信息安全管理要求ISO/IEC27001的前身為英國的BS7799標準,該標準由英國標準協會(BSI)于1995年2月提出,并于1995年5月修訂而成的。1999年BSI重新修改了該標準。下面講ISO27001的安全治理規范:



ISO27001證書.jpg

ISO27001信息安全體系證書

一、經濟合作和發展組織,《信息系統安全指南》(1992)

  ISO27001信息安全體系,《信息系統安全指南》用于協助國家和企業構建信息系統安全框架。美國、OECD的其他23個成員國,以 及十幾個非OECD成員國家都批準了這一指南。該指南旨在提高信息系統風險意識和安全措施,提供一個一般性的框架以輔助信息系統 安全度量方法、操作流程和實踐的制定和實施,鼓勵關心信息系統安全的公共和私有部門間的合作,促進人們對信息系統的信心,促 進人們應用和使用信息系統,方便國家間和國際間信息系統的開發、使用和安全防護。這個框架包括法律、行動準則、技術評估、管 理和用戶實踐,及公眾教育或宣傳。該指南目的是作為政府、公眾和私有部門的標桿,通過此標桿測量進展。

二、國際會計師聯合會,《信息安全管理》(1998)

   信息安全目標是“保護依靠信息 、信息系統和傳送信息的人、通信設施的利益不因為信息機密性、完整性和可用性的故障而遭受損失”。任何組織在滿足三條準 則時可認為達到信息安全目標:數據和信息只透露給有權知道該數據和信息的人(機密性);數據和信息保護不受未經授權的修改(完 整性);信息系統在需要時可用和有用(可用性)。機密性、完整性和可用性之間的相對優先級和重要性根據信息系統中的信息和使用 信息的商業環境而不同。 信息安全因急速增長的事故和風險種類而日益重要。對信息系統的威脅既有可能來自有意或無意的行動,也 可能來自內部或外部。信息安全事故的發生可能是因為技術方面的因素、自然災害、環境方面、人的因素、非法訪問或病毒。另外, 業務依賴性(依靠第三方通信設施傳送信息,外包業務等等)也可能潛在地導致管理控制的失效和監督不力。

三、國際標準化組織,《ISO 17799國際標準》(最新版是2005)

    ISO17799(根據BS 7799第一部分制定)作為確定控制范圍的單一參考點, 在大多數情況下,這些控制是使用業務信息系統所必須的。該標準適應任何規模的組織。它把信息作為一種資產,像其他重要商業資 產一樣,這種資產對組織有價值,因此需要恰當保護它。ISO 17799認為信息安全有下列特征:機密性,確保信息只被相應的授權用戶 訪問;完整性,保護信息和處理信息程序的準確性和完整性;可用性,確保授權用戶在需要時能夠訪問信息和相關資產。信息安全保護 信息不受廣泛威脅的損毀,確保業務連續性,將商業損失降至最小,使投資收益最大并抓住各種商業機遇。安全是通過實施一套恰當 的控制措施實現的。該控制措施由策略、實踐、程序、組織結構和軟件組成。  

四、信息系統審計和控制 協會,《信息和相關技術的控制目標》(CoBIT)

   CoBIT起源于IT需要傳遞組織為達到業務目標所需 的信息這個前提,至今已有三個版本。除了鼓勵以業務流程為中心,實行業務流程負責制外,CoBIT還考慮到組織對信用、質量和安全 的需要,它提供了組織用于定義其對IT業務要求的幾條信息準則:效率、效果、可用性、完整性、機密性、可靠性和一致性。CoBIT進 一步把IT分成4個領域(計劃和組織,獲取和實施,交付和支持,監控),共計34個IT業務流程。CoBIT為正在尋求控制實施最佳實踐 的管理者和IT實施人員提供了超過300個詳細的控制目標,以及建立在這些目標上的廣泛的行動指南。COBIT框架通過聯結業務風險、 控制需要和技術手段來幫助滿足管理當局多樣化的需求。它提供了通過一個范圍和過程框架的最佳慣例,以形成一個可控和邏輯結構 內的活動。

五、美國注冊會計師協會(加拿大特許會計師協會),《SysTrust TM系統可靠性原理和準則 V20》(2001)

   SysTrust服務是一種保證服務,用于增強管理者、客戶和商業伙伴對支持業務或某 種特別活動的系統的信任。SysTrust服務授權注冊會計師承擔的保證服務包括:注冊會計師從可用性、安全性、完整性和可維護性四個 基本方面評估和測試系統是否可靠。

   SysTrust定義在特定環境下及特定時期內,沒有重大錯誤、缺 陷或故障地運行的系統為可靠系統。系統界限由系統所有者確定,但必須包括基礎設施、軟件、人、程序和數據這幾個關鍵部分。 SysTrust的框架可升級,企業能夠靈活選擇SysTrust標準的任何部分或全部來驗證系統的可靠性。對系統四個標準的判斷組成對系統 整體可靠性的判斷。注冊會計師也能單獨判斷某一標準如可用性或安全性的可靠性狀況。但是這種判斷僅僅對特定標準的可靠性做出 判斷,不是對系統整體可靠性的判斷。


信息安全管理要求ISO/IEC27001的前身為英國的BS7799標準,該標準由英國標準協會(BSI)于1995年2月提出,并于1995年5月修訂而成的。1999年BSI重新修改了該標準。


BS7799分為兩個部分: BS7799-1,信息安全管理實施規則 BS7799-2,信息安全管理體系規范。 第一部分對信息安全管理給出建議,供負責在其組織啟動、實施或維護安全的人員使用;第二部分說明了建立、實施和文件化信息安全管理體系(ISMS)的要求,規定了根據獨立組織的需要應實施安全控制的要求。


信息安全是一個重要的討論主題,眼下那些依靠內部計算機系統和互聯網來開展業務的公司,很難承受其業務運營中斷所帶來的損失。一次安全事故可以對公司的收益流、客戶信心和公共關系產生大范圍的消極影響。因此這種狀況使得信息安全成為一個有效的整體 業務戰略的基本組成部分之一。建立ISO27000信息安全管理體系來應對公司面對的信息安全風險應該是非常緊要的。


在美國銀行聯盟(ABA)近期的一次會議中,四位首席執行官在會面期間談起了他們最近正面臨的一些挑戰?;羧A德講述了近期一次由蠕蟲王(Slammer)引起的安全事故,這次事故使得他的銀行的13,000臺自動取款機(ATM)停止向客戶服務達24小時左右。這個蠕蟲傳播如此之快,以至于信息技術(IT) 部門根本無法及時反應。蠕蟲是一種能夠自我復制的有害程序,它不需要用戶的干預,就可以在計算機和網絡間傳播??焖購椭频娜湎x可以消耗資源,降低計算機和網絡的速度,使其性能大大下降,甚至完全崩潰。


ISO27001信息安全體系的安全例子:


薩姆和霍華德的不幸遭遇差不多,因為有人從其銀行的辦公室偷竊了一臺筆記本電腦,其中存放著成千上萬的客戶的機密財務信息。薩姆的銀行還算幸運,幾天之后重新找到了這臺筆記本電腦;然而,他的客戶服務機構花費了相當多的時間去聯系這些受影響的客戶,并一直監控他們的賬戶來防止可能的欺詐。


羅杰就沒有這么幸運了。一個東歐的黑客利用欺騙手段攻入其公司的系統中,并向黑客的賬戶轉入了大約1千萬美元。雖然他的銀行能追回這些資金中的大部分,但是這個事件給公司的品牌帶來相當大的損害。查爾斯則在惋惜其信用卡業務所受的損害,黑客向其一些沒有疑心的客戶發送電子郵件,這些電子郵件看起來像是正式的,但是實際上是假冒的(此過程被稱為“網上釣魚”),誘騙他們泄露機密信息。然后,這些黑客就利用這些落入圈套的客戶的賬戶進行非法消費。


上面這些故事是來源于一些近期在金融服務行業中實際發生的安全事故。但是信息安全事故并不只在此行業發生。所有的進行一部分電子商務處理的組織機構都是潛在 的目標。在2003年4月,Slammer蠕蟲中斷了一個核能源工廠的安全監控系統達5個小時之久,并且嚴重影響了此工廠整個網絡的性能。在2003年1月,一個重要的美國計算機網絡公司向中國的競爭對手提出關于其竊取知識產權的控告。此公司聲稱其競爭對手復制了其源代碼、文檔和其他保留版權的信息。20個月后,雙方解決了爭端,中國的競爭對手同意不再銷售訴訟中提及的所有產品。


1999年12月,一家在線音樂發行商拒絕了一個黑客的10萬美元的勒索,此黑客竊取其大約35萬名客戶的包括信用卡號在內的機密個人信息。黑客隨后將這些信息發布到互聯網上,導致了非常嚴重的品牌形象破壞。最后一個例子:兩家位于硅谷的軟件公司曾卷入一宗數10 億美元的關于知識產權竊取的法律訴訟,其原因是有管理人員從一家公司離開并組建了與之競爭的另一家公司。


2702.png

信息安全管理


會員登錄
登錄
其他帳號登錄:
留言
回到頂部