国产又粗又猛又爽又黄的黄牛视频-欧美日韩精品网址-国产成人麻豆h视频在线观看-蜜臀av区一二三爽免费播放-久久久伦理精品-99精品资源在线视频-伊人久久大香樵-久久人妻人人爽-性欧美少妇煌妇喷水,麻豆免费在线观看视频网站,天天射天天干天天要,91精品国自产拍老熟女露脸

ISO27000系列標準相關知識

信息是組織的血液，存在的方式各異�？梢允谴蛴�，手寫，也可以是電子，演示和口述的。當今商業(yè)競爭日趨激烈，來源于不同渠道的信息，威脅到信息的一致性。它們來自內(nèi)部，外部，意外的，還可能是惡意的。隨著信息儲存，發(fā)送新技術(shù)的廣泛使用，我們面臨的各種風險也在增高。信息安全越來越重要！信息安全不是有一個終端防火墻，或找一個24小時提供信息安全服務的公司就可以達到的。它需要全面的綜合管理。信息安全管理體系的引入，可以協(xié)調(diào)各個方面信息管理，使管理更為有效。信息安全管理體系是系統(tǒng)的對組織敏感信息及信息資產(chǎn)進行管理，涉及到人，程序和信息科技(IT)系統(tǒng)。需要建立廣泛的信息安全方針。保證安全性，公正性。適用組織內(nèi)部和客戶。信息安全管理體系ISMS正成為上管理體系標準銷售增長量大的產(chǎn)品。

信息安全管理體系（Information security management systems，簡稱ISMS）（即ISOIEC 27000系列）是目前國際信息安全管理標準研究的重點。

ISO27000 系列共包括10個標準，當前已經(jīng)發(fā)布和在研究的有6個，分別為： 
1、ISOIEC 27000《信息安全管理體系 基礎和詞匯》； 
2、ISOIEC 27001：2005《信息安全管理體系 要求》； 
3、ISOIEC 17799：2005《信息安全管理實用規(guī)則》（2007年4月后，編號將改為27002）； 
4、ISOIEC 27003《信息安全管理體系實施指南》； 
5、ISOIEC 27004《信息安全管理測量》；
6、ISOIEC 27005《信息安全風險管理》。 
一、什么是信息安全？像其他重要業(yè)務資產(chǎn)一樣，信息也是對組織業(yè)務至關重要的一種資產(chǎn)，因此需要加以適當?shù)乇Ｗo。在業(yè)務環(huán)境互連日益增加的情況下這一點顯得尤為重要。這種互連性的增加導致信息暴露于日益增多的、范圍越來越廣的威脅和脆弱性當中（也可參考關于信息系統(tǒng)和網(wǎng)絡的安全的OECD指南）。信息可以以多種形式存在。它可以打印或?qū)懺诩埳�、以電子方式存儲、用郵寄或電子手段傳送、呈現(xiàn)在膠片上或用語言表達。無論信息以什么形式存在，用哪種方法存儲或共享，都應對它進行適當?shù)乇Ｗo。信息安全是保護信息免受各種威脅的損害，以確保業(yè)務連續(xù)性，業(yè)務風險小化，投資回報和商業(yè)機遇大化。信息安全是通過實施一組合適的控制措施而達到的，包括策略、過程、規(guī)程、組織結(jié)構(gòu)以及軟件和硬件功能。在需要時需建立、實施、監(jiān)視、評審和改進這些控制措施，以確保滿足該組織的特定安全和業(yè)務目標。這個過程應與其他業(yè)務管理過程聯(lián)合進行。

二、為什么需要信息安全？信息及其支持過程、系統(tǒng)和網(wǎng)絡都是重要的業(yè)務資產(chǎn)。定義、實現(xiàn)、保持和改進信息安全對保持競爭優(yōu)勢、現(xiàn)金周轉(zhuǎn)、贏利、守法和商業(yè)形象可能是至關重要的。各組織及其信息系統(tǒng)和網(wǎng)絡面臨來自各個方面的安全威脅，包括計算機輔助欺詐、間諜活動、惡意破壞、毀壞行為、火災或洪水。諸如惡意代碼、計算機黑客搗亂和拒絕服務攻擊等導致破壞的安全威脅，已經(jīng)變得更加普遍、更有野心和日益復雜。信息安全對于公共和專用兩部分的業(yè)務以及保護關鍵基礎設施是非常重要的。在這兩部分中信息安全都將作為一個使動者，例如實現(xiàn)電子政務或電子商務，避免或減少相關風險。公共網(wǎng)絡和專用網(wǎng)絡的互連、信息資源的共享都增加了實現(xiàn)訪問控制的難度。分布式計算的趨勢也削弱了集中的、專門控制的有效性。許多信息系統(tǒng)并沒有被設計成是安全的。通過技術(shù)手段可獲得的安全性是有限的，應該通過適當?shù)墓芾砗鸵?guī)程給予支持。確定哪些控制措施要實施到位需要仔細規(guī)劃并注意細節(jié)。信息安全管理至少需要該組織內(nèi)的所有員工參與，還可能要求利益相關人、供應商、三方、顧客或其他外部團體的參與。外部組織的顧問、專家建議可能也是需要的。

三、 如何建立安全要求組織識別出其安全要求是非常重要的，安全要求有三個主要來源： 
1、一個來源是在考慮組織整體業(yè)務戰(zhàn)略和目標的情況下，評估該組織的風險所獲得的。通過風險評估，識別資產(chǎn)受到的威脅，評價易受威脅利用的脆弱性和威脅發(fā)生的可能性，估計潛在的影響。
2、另一個來源是組織、貿(mào)易伙伴、合同方和服務提供者必須滿足的法律、法規(guī)、規(guī)章和合同要求，以及他們的社會文化環(huán)境。
3、三個來源是組織開發(fā)的支持其運行的信息處理的原則、目標和業(yè)務要求的特定集合。