 |
|
开篇 |
作为一个服务供应商或研发机构,在当今商业竞争日趋激烈,来源于不同渠道的信息,威胁到信息的一致性。它们来自内部,外部,意外的,还可能是恶意的。随着信息储存,发送新技术的广泛使用,我们面临的各种风险也在增高。企业信息的私密性、完整性、以及知识产权,都在日益受到重视。您迫切需要一种系统化的方法来管理信息安全。
信息安全管理体系是系统的对组织敏感信息进行管理,涉及到人,程序和信息科技(IT)系统。信息安全不是有一个终端防火墙,或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。信息安全管理体系的引入,可以协调各个方面信息管理,管理更为有效。
信息安全发展至今,人们越来越认识到安全管理在整个信息安全建设过程中的重要性,而作为信息安全管理方面最著名的国际标准——ISO27001(即之前所称的BS7799标准),则成为可以指导我们现实工作的最好的参照。
循序咨询在专注于CMM系列的过程改进的同时,也致力于针对软、硬件研发和服务外包的组织提供专业而高效的信息安全咨询和培训服务。我们了解最严格的信息安全的技术规范和精通信息安全的管理体系,同时深刻的理解研发组织内部业务过程。在我们的咨询服务下,信息安全将同组织已有的规范、标准相结合,并完全融入到组织的日常工作中,使之制度化并见到真正的成效。
循序咨询是国内少数同时对于软件过程改进、信息安全、IT服务管理提供咨询和培训服务的公司。咨询师具有CMMI,P-CMM,PSP,TSP,ISO27001及项目管理等国际资质。 |
|
|
|
ISO27001的发展历史: |
BS7799是英国标准协会(British
Standards Institute,BSI)于1995年2月制定的信息安全管理标准,BS7799由两部分组成。BS7799-1是信息安全管理的最佳实践指南,BS7799-2是信息安全管理体系的要求,是获取认证的标准。
BS7799-1已在2005年5月转为ISO标准-ISO/IEC17799(BS7799-1:2005),BS7799-2已在2005年10月转为ISO标准-ISO27001(BS7799-2:2005)。
ISO/IEC17799 (BS7799-1:2005)的十一个章节概述如下:
• |
安全方针-为信息安全提供管理指导和支持; |
• |
安全组织-在公司内管理信息安全; |
• |
资产分类与管理-对公司的信息资产采取适当的保护措施; |
• |
人员安全-减少人为错误、偷窃、欺诈或滥用信息及处理设施的风险; |
• |
实体和环境安全-防止对商业场所及信息未经授权的访问、损坏及干扰; |
• |
通讯与运作管理-确保信息处理设施正确和安全运行; |
• |
访问控制-管理对信息的访问; |
• |
系统的获得、开发和维护-确保将安全纳入信息系统的整个生命周期; |
• |
安全事件管理-确保安全事件发生后有正确的处理流程和报告方式; |
• |
商业活动连续性管理-防止商业活动的中断,并保护关键的业务过程免受重大故障或灾难的影响; |
• |
符合法律-避免违反任何刑法和民法、法律法规或合同义务以及任何安全要求。 |
|
|
