关于我们 服务流程 体系验厂 客户验厂 验厂软件 EHS专题 验厂资讯 法律法规 机构介绍 验厂资料 招聘信息
     
 公司动态

常州**玩具通过ICTI认证
南通**服饰顺利通过WRAP认证 
苏州**鞋厂于顺利通过
BSCI认证
宁波**电子以零问题的成绩一次性通过
EICC认证审核并向我司来电致谢
苏州**工贸顺利通过
Target验厂
上海**贸易旗下多家LIDL工厂通过
BSCI认证
无锡**工艺品有限公司通过ETI审核
我公司南京
SA8000研讨会胜利闭幕
 5月20日
苏州奥地特企业管理咨询有限公司与厦门ITS举办行业互动活动
6月2日我公司与上海**实业签订包年
验厂咨询合同
祝贺张家港**贸易下属两家工厂通过
ICTI认证审核
6月3日苏州**科技通过
BSCI验厂
6月4日常熟**电子通过
ICTI验厂
6.月5日张家港**鞋业司通过
ETI验厂
6月4日镇江**体育用品厂
FSC认证取得良好成绩
6月10日我公司
BSCI研讨会在苏州召开
6月11日苏州**贸易接受我公司
BSCI认知培训
6月13日如皋**数码
Best Buy验厂取得历年来最好成绩
6月13日海门**时装
C-TPAT验厂过关
6月13日南通**服饰
BSCI验厂合格
6月13日如东**时装
ICTI认证中取得A证
6月14日通州市**袜业取得
WRAP认证证书
热烈祝贺我公司员工Charly月15日获得ISO外审员资格证书
6月29日我公司CSR研讨会在无锡召开
10月28日苏州XX服饰在我公司辅导下通过
BSCI认证,被审核员誉为苏州最优服装工厂
10月29日苏州奥地特企业管理咨询有限公司,召开公司大会公布上半年业绩,累计辅导企业322家,一次性通过率95%
12月18日,苏州奥地特企业对厦门27家外贸公司开展BSCI认知培训公开课
扬州zy玩具ICTI认证取得优异成绩
2010我公司业绩大幅增长,全年累计辅导工厂达903家!
2011年3月,帮助83家工厂通过验厂(其中ICTI认证5家)
2011年4月,帮助75家工厂通过验厂(其中EICC认证3家,ICTI认证2家)
2011年5月,帮助79家工厂通过验厂(其中,ICTI认证2家,SA8000认证2家)
 用户登录
用户名:
密 码:
新用户注册 忘记密码?
 业务范围
· 社会责任/体系验厂咨询
· 客户COC验厂咨询
· 品质验厂咨询
· 验厂整体解决方案
 在线咨询
 资料下载
· Sedex会员AB类Members列表
· SEDEX会员A类Members列表
· BSCI会员名单BSCI Members20170707.pdf
· EICC行为守则5.0版
· EICC行为守则4.0
· ICTI申请表
· 索尼集团行为规范准则
· bestseller(行为守则)
 
您的位置: 企业社会责任网 --> 国际标准体系-27000介绍  
信息安全认证概述

为什么需要信息安全?
 
        信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。然而,越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁,诸如计算机病毒、计算机入侵、 Dos 攻击等手段造成的信息灾难已变得更加普遍 , 有计划而不易被察觉。组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏,公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。许多信息系统本身就不是按照安全系统的要求来设计的,所以仅依靠技术手段来实现信息安全有其局限性,所以信息安全的实现必须得到管理和程序控制的适当支持。确定应采取哪些控制方式则需要周密计划,并注意细节。信息安全管理至少需要组织中的所有雇员的参与,此外还需要供应商、顾客或股东的参与和信息安全的专家建议。在信息系统设计阶段就将安全要求和控制一体化考虑,则成本会更低、效率会更高。
 
建立信息安全管理体系的作用:
 
        任何组织,不论它在信息技术方面如何努力以及采纳如何新的信息安全技术,实际上在信息安全管理方面都还存在漏洞,例如:
缺少信息安全管理论坛,安全导向不明确,管理支持不明显;
缺少跨部门的信息安全协调机制;
保护特定资产以及完成特定安全过程的职责还不明确;
雇员信息安全意识薄弱,缺少防范意识,外来人员很容易直接进入生产和工作场所;
组织信息系统管理制度不够健全;
组织信息系统主机房安全存在隐患,如:防火设施存在问题,与危险品仓库同处一幢办公楼等;
组织信息系统备份设备仍有欠缺;
组织信息系统安全防范技术投入欠缺;
软件知识产权保护欠缺;
计算机房、办公场所等物理防范措施欠缺;
档案、记录等缺少可靠贮存场所;
缺少一旦发生意外时的保证生产经营连续性的措施和计划;
        ……等等。
  
        其实,组织可以参照信息安全管理模型,按照先进的信息安全管理标准 BS7799 标准建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平,就可以从根本上保证业务的连续性。组织建立、实施与保持信息安全管理体系将会产生如下作用:
强化员工的信息安全意识,规范组织信息安全行为;
对组织的关键信息资产进行全面系统的保护,维持竞争优势;
在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;
使组织的生意伙伴和客户对组织充满信心;
如果通过体系认证,表明体系符合标准,证明组织有能力保障重要信息,提高组织的知名度与信任度;
促使管理层坚持贯彻信息安全保障体系。

信息安全管理体系标准的发展
   信息安全管理体系标准的出现最早可以追溯到1993年,受英国贸工部的委托,开始汇集各优秀企业有关信息安全管理的最佳实践,准备推出信息安全管理的指南,该指南于1995年以BS7799-l的编号出版,虽然是英国标准,但出版后得到了各国的认可,并得到了广泛的应用,这包括英国本土,也包括亚洲国家和地区。
        1998年,在指南应用了一段时间之后,BSI又适时发布了作为规范的BS7799-2,它作为一个可以认证的标准,为实践单位提供了纲领,从此BS7799成为一对标准。
        2000年,BS7799被提交ISO审议,拟升级为国际标准,由于种种因素,BS7799-1升级成为ISO17799:2000,而BS7799-2没有升级成功,保留了原有的编号。 
        从2000年到2005年的期间,信息安全管理体系标准已经被全球认可,全球将近2000家组织获得了BS7799-2的认证,在中国有将近20家单位获得了此认证。 
        2005年10月,BS7799-2成功升级为IS02700l标准,并且,以后信息安全管理体系标准,将要统一到ISO2700X系列上,除了现有的管理体系要求和管理指南之外,还将陆续出版其他指南,见下表:
27000 Vocabularyanddefinitions术语和定义  
27001 ISMSRequirement(BS7799-2)信息安全管理体系要求  
27002 ISMSImplementationGuidance信息安全管理体系实施指南
27003 ISMSImplementationGuidance信息安全管理体系实施指南
27004 ISMMetricsandMeasurement信息安全管理的测量  
27005 RiskManagement(BS7799-3)风险管理  
 
全球五大安全治理规范
一、经济合作和发展组织,《信息系统安全指南》(1992)
 
  《信息系统安全指南》用于协助国家和企业构建信息系统安全框架。美国、OECD的其他23个成员国,以及十几个非OECD成员国家都批准了这一指南。该指南旨在提高信息系统风险意识和安全措施,提供一个一般性的框架以辅助信息系统安全度量方法、操作流程和实践的制定和实施,鼓励关心信息系统安全的公共和私有部门间的合作,促进人们对信息系统的信心,促进人们应用和使用信息系统,方便国家间和国际间信息系统的开发、使用和安全防护。这个框架包括法律、行动准则、技术评估、管理和用户实践,及公众教育或宣传。该指南目的是作为政府、公众和私有部门的标杆,通过此标杆测量进展。
 
二、国际会计师联合会,《信息安全管理》(1998)
 
  信息安全目标是“保护依靠信息、信息系统和传送信息的人、通信设施的利益不因为信息机密性、完整性和可用性的故障而遭受损失”。任何组织在满足三条准则时可认为达到信息安全目标:数据和信息只透露给有权知道该数据和信息的人(机密性);数据和信息保护不受未经授权的修改(完整性);信息系统在需要时可用和有用(可用性)。机密性、完整性和可用性之间的相对优先级和重要性根据信息系统中的信息和使用信息的商业环境而不同。 信息安全因急速增长的事故和风险种类而日益重要。对信息系统的威胁既有可能来自有意或无意的行动,也可能来自内部或外部。信息安全事故的发生可能是因为技术方面的因素、自然灾害、环境方面、人的因素、非法访问或病毒。另外,业务依赖性(依靠第三方通信设施传送信息,外包业务等等)也可能潜在地导致管理控制的失效和监督不力。
 
三、国际标准化组织,《ISO 17799国际标准》(最新版是2005)
 
  ISO17799(根据BS 7799第一部分制定)作为确定控制范围的单一参考点,在大多数情况下,这些控制是使用业务信息系统所必须的。该标准适应任何规模的组织。它把信息作为一种资产,像其他重要商业资产一样,这种资产对组织有价值,因此需要恰当保护它。ISO 17799认为信息安全有下列特征:机密性,确保信息只被相应的授权用户访问;完整性,保护信息和处理信息程序的准确性和完整性;可用性,确保授权用户在需要时能够访问信息和相关资产。信息安全保护信息不受广泛威胁的损毁,确保业务连续性,将商业损失降至最小,使投资收益最大并抓住各种商业机遇。安全是通过实施一套恰当的控制措施实现的。该控制措施由策略、实践、程序、组织结构和软件组成。
 
四、信息系统审计和控制协会,《信息和相关技术的控制目标》(CoBIT)
 
  CoBIT起源于IT需要传递组织为达到业务目标所需的信息这个前提,至今已有三个版本。除了鼓励以业务流程为中心,实行业务流程负责制外,CoBIT还考虑到组织对信用、质量和安全的需要,它提供了组织用于定义其对IT业务要求的几条信息准则:效率、效果、可用性、完整性、机密性、可靠性和一致性。CoBIT进一步把IT分成4个领域(计划和组织,获取和实施,交付和支持,监控),共计34个IT业务流程。CoBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提供了超过300个详细的控制目标,以及建立在这些目标上的广泛的行动指南。COBIT框架通过联结业务风险、控制需要和技术手段来帮助满足管理当局多样化的需求。它提供了通过一个范围和过程框架的最佳惯例,以形成一个可控和逻辑结构内的活动。
 
五、美国注册会计师协会(加拿大特许会计师协会),《SysTrust TM系统可靠性原理和准则V20》(2001)
 
  SysTrust服务是一种保证服务,用于增强管理者、客户和商业伙伴对支持业务或某种特别活动的系统的信任。SysTrust服务授权注册会计师承担的保证服务包括:注册会计师从可用性、安全性、完整性和可维护性四个基本方面评估和测试系统是否可靠。
 
  SysTrust定义在特定环境下及特定时期内,没有重大错误、缺陷或故障地运行的系统为可靠系统。系统界限由系统所有者确定,但必须包括基础设施、软件、人、程序和数据这几个关键部分。SysTrust的框架可升级,企业能够灵活选择SysTrust标准的任何部分或全部来验证系统的可靠性。对系统四个标准的判断组成对系统整体可靠性的判断。注册会计师也能单独判断某一标准如可用性或安全性的可靠性状况。但是这种判断仅仅对特定标准的可靠性做出判断,不是对系统整体可靠性的判断。
 
信息安全管理体系建立和运行步骤
        ISO27001标准要求组织建立并保持一个文件化的信息安全管理体系,其中应阐述需要保护的资产、组织风险管理的渠道、控制目标及控制方式和需要的保证程度。
        不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体情况,采取不同的步骤和方法。但总体来说,建立信息安全管理体系一般要经过下列四个基本步骤:信息安全管理体系的策划与准备;信息安全管理体系文件的编制;信息安全管理体系运行;信息安全管理体系审核与评审。
        如果考虑认证过程其详细的步骤如下:
现场诊断;
确定信息安全管理体系的方针、目标;
明确信息安全管理体系的范围,根据组织的特性、地理位置、资产和技术来确定界限;
对管理层进行信息安全管理体系基本知识培训;
信息安全体系内部审核员培训;
建立信息安全管理组织机构;
实施信息资产评估和分类,识别资产所受到的威胁、薄弱环节和对组织的影响,并确定风险程度;
根据组织的信息安全方针和需要的保证程度通过风险评估来确定应实施管理的风险,确定风险控制手段;
制定信息安全管理手册和各类必要的控制程序 ;
制定适用性声明;
制定商业可持续性发展计划;
审核文件、发布实施;
体系运行,有效的实施选定的控制目标和控制方式;
内部审核;
外部第一阶段认证审核;
外部第二阶段认证审核;
颁发证书;
体系持续运行/年度监督审核;
复评审核(证书三年有效)。
        至于应采取哪些控制方式则需要周密计划,并注意控制细节。信息安全管理需要组织中的所有雇员的参与,比如为了防止组织外的第三方人员非法进入组织的办公区域获取组织的技术机密,除物理控制外,还需要组织全体人员参与,加强控制。此外还需要供应商,顾客或股东的参与,需要组织以外的专家建议。信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。
 
        当前,越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁,诸如计算机病毒、计算机入侵、DoS攻击等手段造成的信息灾难已变得更加普遍,有计划而不易被察觉。组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏,公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。
 
        许多信息系统本身就不是按照安全系统的要求来设计的,所以仅依靠技术手段来实现信息安全有其局限性,所以信息安全的实现必须得到管理和程序控制的适当支持。确定应采取哪些控制方式则需要周密计划,并注意细节。信息安全管理至少需要组织中的所有雇员的参与,此外还需要供应商、顾客或股东的参与和信息安全的专家建议。
信息安全管理体系(ISMS)有效性测量
        随着各界对信息安全管理重视程度的加强,越来越多的组织依据ISO 27001标准来建立自身的信息安全管理体系(ISMS),对于ISMS的建立的过程和方法已经有很多的资料可以参考,然而对ISMS的有效性进行测量则是一个比较新的课题。
  一、为什么需要对ISMS进行有效性测量?
  为什么要对ISMS的有效性进行测量呢?换句话说,进行ISMS有效性测量的意义及价值是什么,下面从以下几个角度来评述。
  1. 对信息安全管理目标的考核
  组织在建立ISMS时都会依据组织业务的发展、各利益相关方安全要求及组织的信息安全管理水平等,来设定自身信息安全管理的目标,通过有效性测量,不但可以很好的对信息安全目标达到的程度进行考核,准确的衡量ISMS的绩效,而且还能够为管理层对信息安全管理的资源投入提供数据依据。
 
  2. ISMS持续改进的重要依据
  在建立ISMS时,通常都会进行风险评估及风险处理措施的实施,如果不进行有效行测量,就不能反映出当前组织的各安全措施的效果如何,即无法表现出信息安全的改进在哪些方面。通过有效性测量,能够更充分的反映出当前组织的信息安全存在问题及问题的严重程度,为今后的信息安全的工作重点提供有力的依据。
 
  3. 信息安全管理工作的绩效考核
  有效性测量结果不仅是衡量ISMS绩效的重要标准,也是对信息安全管理组织工作绩效的一个有利的侧面展示,通过有效性测量的数据,不但可以使管理者清晰的了解信息安全管理工作,而且还能增强信息安全管理工作人员的信心。
 
  4. 满足标准(ISO 27001)的符合性要求
  众所周知,ISO 27001标准中明确要求组织定义测量体系,并实施之获得数据,衡量所实施ISMS的有效性。通过ISMS有效性测量工作,不仅仅充分的满足了标准的要求,而且是推动ISMS持续改进的动力。
 
  二、进行有效性测量需要注意什么?
 
  在对ISMS进行有效性测量的时候,我们应该遵循什么样的原则呢?我认为只要遵循“有依据、可操作、能比较”这三点原则,那么设计出来的有效性测量体系就是比较好的。这三点原则说明如下:
 
  1) 有依据:有效性测量的过程中,不是为了测量而测量,不是为了标准而测量,各项指标的设定一定要有理有据,每个测量的指标都应当能够具体反映出ISMS的运行状态。
  2) 可操作:一个不能操作的测量指标体系是没有意义的,所以有效性测量指标体系一定是清晰、明确,具体可操作的,而同时又是容易收集、不能花费太大的成本的,否则设计再好的测量指标体系都无法真正的贯彻执行。
  3) 能比较:有效性测量的结果一定是可比较的,可以通过量化的数值、图形化的参考来展现测量的结果,这样能够清晰、直观的观察到ISMS的状态趋势。
 
  三、如何进行有效性测量体系的设计?
 
  前面谈到了进行有效性测量的必要性以及建立测量指标体系的原则,那么如何建立一个有效性测量的体系呢?下面结合ISMS建设的PDCA四个阶段来做一个说明各阶段的重要活动。
 
  1. ISMS的Plan策划阶段
  随着整个ISMS的策划,有效性测量的工作其实已经可以开展,这个阶段主要是收集有效性测量的需求,为有效性测量提供输入,是进行有效性测量指标体系设计的基础。具体的活动如下:
  1) ISMS目标建立:有效性测量一定要与组织的业务目标相关,是为了组织的核心业务目标而测量的,这是进行有效性测量的第一要点。在ISMS策划阶段建立组织ISMS的业务目标时,一定使ISMS的目标能够反映组织的业务目标,并且这个目标需要遵守SMART原则,即要具体(Specific),可量化(Measurable),­可达成(Achievable or Attainable),现实的(Realistic),并且有限定的时间期限(Timely)。
  2) 利害相关方关注收集:在ISMS的策划阶段,可以收集各利害相关人的关注点,比如:客户的信息安全关注点、股东或高层的信息安全关注点、上级或监管机构的信息安全关注点等,这些都是建设ISMS的重要信息输入,同时也是有效性测量的重点关注内容。
  3) 历年安全事件的总结:信息安全事件的频次,能够在一定程度上反映出组织信息安全的薄弱环节,这些高频次的安全事件可作为有效性测量的一个重点,来跟踪验证针对信息安全事件的安全措施是否有效。如以往病毒发作的安全事件比较高,那么可以将病毒的发作次数、病毒软件的安装率、操作系统的补丁更新率作为有效性测量的指标来进行测量,以反映出防病毒控制措施的有效性。
  4) 信息安全高风险归纳:在策划阶段进行风险评估中的信息安全高风险,是需要组织必须要处理的,而且这些高风险同时是需要被重点跟踪的,因此所有的信息安全高风险必须能够反映到有效性测量的指标体系中去,来验证信息安全高风险的控制措施是否有效。
  按照上面所讲的方面进行有效性测量的需求信息收集,来为有效性测量提供有力的输入信息,这样在进行有效性测量指标的设计时,就能够做到有理有据。
 
  2. ISMS的Do运作阶段
  在ISMS的运作阶段,需要对有效性测量体系进行详细的设计,主要是解决测量什么、如何测量、测量结果如何展示的问题。我们从以下几个方面进行分析:
  1) 分析有效性测量需求:对于策划阶段的各类有效性测量的输入进行归纳整理,在这个基础上还可以考虑加入一些其它方面的只要指标,比如ISMS的重要活动、信息安全管理的日常操作等,这些方面统一分析整理,最终得出一套需要进行测量的重要指标。
  2) 有效性测量指标分解:对归纳出来的各项重要指标做进一步分解,对应到ISMS的各项具体度量项,并为每项设定度量目标的阀值。
  3) 测量指标采集方案设计:测量指标采集方案的设计是将各项指标如何测量进行定义,包括测量指标的计算方法、指标采集频度、测量责任人及采集方式等。测量方案一定要具体可行,指标采集频度可以根据不同的指标区别对待,在制定责任人时应尽量避免由操作者直接测量自己工作的指标。
  4) 有效性测量指标的记录:按照测量指标采集方案的频率进行检查,并且按照时间线进行记录,记录的数据应客观准确,这样才能真正的反映问题。
  在此阶段的过程中,测量指标的选取是一个重点,同时也是一个难点,不能测量的指标过少,但同时也没有比较所有的控制点全部进行测量,下面是一个测量指标分类的参考,可根据实际情况选取一些关键的指标进行度量。
  - 管理控制措施:如安全目标、安全意识等方面;
  - 业务流程:如风险评估和处理、选择控制措施等;
  - 运营措施:如备份、防范恶意代码、存储介质等方面;
  - 技术控制措施:如防火墙、入侵检测、补丁管理等;
  - 审核、回顾和测试:如内审、外审、技术符合性检查等。
 
  3. ISMS的Check控制阶段
  在ISMS的控制阶段,需要做的事情有两个方面,一是根据有效性测量的结果对ISMS进行评价,另外一个需要对有效性测量体系进行评价,两方面的工作具体来说为:
  1) 评价ISMS运作:体系管理组根据指标分解的层次,对指标进行计算、整合及分析,检查各层次指标是否满足目标要求,并对整体状况进行评估,得出ISMS做的好的方面以及需要改进的方面。
  2) 评价测量指标:根据测量、分析结果,评价有效性测量体系的贡献,并从中找到需要改进的区域,调整测量指标体系,为ISMS有效性的测量更好的提供服务。
 
  4. ISMS的Act改进阶段
  在ISMS的改进阶段,基于控制阶段的分析,对ISMS及测量指标体系分别进行改进,使之鞥好的为ISMS服务。

验厂咨询请致电奥地特(AUDIT)0512-66355405或发送邮件至service@ccsrcenter.com;国内权威咨询机构

本文最终解释权归奥地特企业管理咨询有限公司,转载须注明http://www.ccsrcenter.com,版权所有,违者必究.

返回上一页
首页 | 关于我们 | 服务流程 | 体系验厂 | 客户验厂 | 验厂软件 | EHS专题 | 验厂资讯 | 法律法规 | 机构介绍 | 验厂资料 | 招聘信息 | 联系我们
版权所有:苏州奥地特企业管理咨询有限公司 Http://www.CCSRcenter.com       网站地图
地址:苏州吴中经济开发区东吴南路153号凯悦大厦16F-06 Support:验厂专家CCSRcenter.com
BSCI认证  WRAP认证  SEDEX/SMETA  ICTI认证  C-TPAT认证  沃尔玛验厂  EICC认证  SA8000认证  FSC认证  验厂咨询