ISO27001信息安全管理体系介绍:

一、信息及信息安全：

     信息象其他重要的商务资产一样，也是一种资产，对一个组织而言具有价值，因而需要被妥善保护。信息安全使信息避免一系列威胁，保障了组织商务的连续性，最大限度地减小组织的商务损失，顺利获取投资和商务回报。
     信息可以以多种形式存在。它可以是打印或写在纸上（如：书面的财务报表等）；电子形式存贮(如:一个组织ERP系统的备份磁带)；通过邮件或用电子手段传输；显示在胶片上；表达在会话中。不论信息采用什么方式或采取什么手段共享和存贮，因为它有价值，应该得到妥善的保护。

     信息安全的维持可表征为：
A、 机密性：确保信息仅可让授权获取的人士访问；
B、 完整性：保护信息和处理方法的准确和完善；
C、 可用性：确保授权人需要时可以获取信息和相应的资产。

     信息安全是通过执行一套适当的控制来达到的。可以是方针、惯例、程序、组织结构和软件功能来实现，这些控制方式需要确定，才能保障组织特定的安全目标的实现。

二、信息安全的重要性：

     信息及其支持过程的系统和网络都是组织的重要资产。信息的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。

     任何组织及其信息系统（如一个组织的ERP系统）和网络都可能面临着包括计算机辅助欺诈、刺探、阴谋破坏行为、火灾、水灾等大范围的安全威胁。随着计算机的日益发展和普及，计算机病毒、计算机盗窃、服务器的非法入侵破坏已变得日益普遍和错综复杂。

     目前一些组织，特别是一些较大型公司的业务已经完全依赖信息系统进行生产业务管理，这意味着组织更易受到安全威胁的破坏。组织内网络的互连及信息资源的共享增大了实现访问控制的难度。

      有些组织的信息系统尽管在设计时可能已考虑了安全，但仅仅依靠技术手段实现安全仍然是有限的，还应当通过管理和程序来支持。

至于应采取哪些控制方式则需要周密计划，并注意控制细节。信息安全管理需要组织中的所有雇员的参与，比如为了防止组织外的第三方人员非法进入组织的办公区域获取组织的技术机密，除物理控制外，还需要组织全体人员参与，加强控制。此外还需要供应商，顾客或股东的参与，需要组织以外的专家建议。

三、建立信息安全管理体系（ISMS）对任何组织都具有重要意义：

     任何组织，不论它在信息技术方面如何努力以及采纳如何新的信息安全技术，实际上在信息安全管理方面都还存在漏洞，例如：

1. 缺少信息安全管理论坛，安全导向不明确，管理支持不明显；
2. 缺少跨部门的信息安全协调机制；
3. 保护特定资产以及完成特定安全过程的职责还不明确；
4. 雇员信息安全意识薄弱，缺少防范意识，外来人员很容易直接进入生产和工作场所；
5. 组织信息系统管理制度不够健全；
6. 组织信息系统主机房安全存在隐患，如：防火设施存在问题，与危险品仓库同处一幢办公楼等；
7. 组织信息系统备份设备仍有欠缺；
8. 组织信息系统安全防范技术投入欠缺；
9. 软件知识产权保护欠缺；
10. 计算机房、办公场所等物理防范措施欠缺；
11. 档案、记录等缺少可靠贮存场所；
12. 缺少一旦发生意外时的保证生产经营连续性的措施和计划；
…….等等

专业咨询请致电 0312 3111762  15027828509 同微信