厦门ISO认证|精品国产一区二区三区性色av|厦门ISO9001认证|精品国产一区二区三区日日嗨|厦门ISO14001认证|精品国产一区二区三区久久久蜜月|厦门ISO45001认证-艾索咨询专注ISO认证行业

　　信息安全 (Information security): 是指信息的保密性 (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。

• ◆缺少信息安全管理論壇，安全導向不明確，管理支持不明顯；
• ◆缺少跨部門的信息安全協(xié)調(diào)機制；
• ◆保護特定資產(chǎn)以及完成特定安全過程的職責還不明確；
• ◆雇員信息安全意識薄弱，缺少防范意識，外來人員很容易直接進入生產(chǎn)和工作場所；
• ◆組織信息系統(tǒng)管理制度不夠健全；
• ◆組織信息系統(tǒng)主機房安全存在隱患，如：防火設施存在問題，與危險品倉庫同處一幢辦公樓等；
• ◆組織信息系統(tǒng)備份設備仍有欠缺；
• ◆組織信息系統(tǒng)安全防范技術投入欠缺；
• ◆軟件知識產(chǎn)權保護欠缺；
• ◆計算機房、辦公場所等物理防范措施欠缺；
• ◆檔案、記錄等缺少可靠貯存場所；
• ◆缺少一旦發(fā)生意外時的保證生產(chǎn)經(jīng)營連續(xù)性的措施和計劃；

• ◆強化員工的信息安全意識，規(guī)范組織信息安全行為；
• ◆對組織的關鍵信息資產(chǎn)進行全面系統(tǒng)的保護，維持競爭優(yōu)勢；
• ◆在信息系統(tǒng)受到侵襲時，確保業(yè)務持續(xù)開展并將損失降到最低程度；
• ◆使組織的生意伙伴和客戶對組織充滿信心；
• ◆如果通過體系認證，表明體系符合標準，證明組織有能力保障重要信息，提高組織的知名度與信任度；
• ◆促使管理層堅持貫徹信息安全保障體系。

• ◆1995 年，英國貿(mào)工部根據(jù)英國國內(nèi)企業(yè)對信息安全日益高漲的呼聲，組織大企業(yè)的信息安全經(jīng)理們，制定了世界上第一個信息安全管理體系標準 BS7799-1 ： 1995 《信息安全管理實施規(guī)則》，作為工商業(yè)和大、中、小型組織實施信息安全管理的指南。由于該標準采用建議和指導方式編寫，因而不宜作為認證標準使用。
• ◆1998 年，為了適應第三方認證的需要，英國又制定了第一個信息安全管理體系認證標準 --BS7799-2 ： 1998 《信息安全管理體系規(guī)范》，作為對一個組織的全面或部分信息安全管理體系進行評審認證的依據(jù)標準。
• ◆1999 年，鑒于計算機和信息處理技術，尤其是網(wǎng)絡和通信領域應用的迅速發(fā)展，英國又對信息安全管理體系標準進行了修訂。修訂后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分別取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修訂的 1999 版標準進一步強調(diào)了組織在商務工作中所涉及的信息安全和信息安全責任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一對配套標準， BS7799-1 ： 1999 為如何建立和實施符合 BS7799-2 ： 1999 標準要求的信息安全管理體系提供了最佳的應用建議。
• ◆2000 年 12 月， BS7799-1 ： 1999 已經(jīng)被 ISO/IEC 正式采納成為國際標準 -- ISO/IEC 17799 ： 2000 《信息技術—信息安全管理實施規(guī)則》，另外， BS7799-2 ： 1999 也即將于 2002 年底被 ISO/IEC 作為藍本修訂后成為可用于認證的 ISO/IEC 的《信息安全管理體系規(guī)范》。

• ◆安全方針：為信息安全提供管理指導和支持；
• ◆組織安全：建立信息安全架構，保證組織的內(nèi)部管理；被第三方訪問或外協(xié)時，保障組織的信息安全；
• ◆資產(chǎn)的歸類與控制：明確資產(chǎn)責任，保持對組織資產(chǎn)的適當保護；將信息進行歸類，確保信息資產(chǎn)受到適當程度的保護；
• ◆人員安全：在工作說明和資源方面，減少因人為錯誤、盜竊、欺詐和設施誤用造成的風險；加強用戶培訓，確保用戶清楚知道信息安全的危險性和相關事項，以便在他們的日常工作中支持組織的安全方針；制定安全事故或故障的反應程序，減少由安全事故和故障造成的損失，監(jiān)控安全事件并從這種事件中吸取教訓；
• ◆實物與環(huán)境安全：確定安全區(qū)域，防止非授權訪問、破壞、干擾商務場所和信息；通過保障設備安全，防止資產(chǎn)的丟失、破壞、資產(chǎn)危害及商務活動的中斷；采用通用的控制方式，防止信息或信息處理設施損壞或失竊；
• ◆通信和操作方式管理：明確操作程序及其責任，確保信息處理設施的正確、安全操作；加強系統(tǒng)策劃與驗收，減少系統(tǒng)失效風險；防范惡意軟件以保持軟件和信息的完整性；加強內(nèi)務管理以保持信息處理和通訊服務的完整性和有效性通過 ; 加強網(wǎng)絡管理確保網(wǎng)絡中的信息安全及其輔助設施受到保護；通過保護媒體處理的安全 , 防止資產(chǎn)損壞和商務活動的中斷；加強信息和軟件的交換的管理，防止組織間在交換信息時發(fā)生丟失、更改和誤用；
• ◆訪問控制：按照訪問控制的商務要求，控制信息訪問；加強用戶訪問管理，防止非授權訪問信息系統(tǒng)；明確用戶職責，防止非授權的用戶訪問；加強網(wǎng)絡訪問控制，保護網(wǎng)絡服務程序；加強操作系統(tǒng)訪問控制 , 防止非授權的計算機訪問；加強應用訪問控制，防止非授權訪問系統(tǒng)中的信息；通過監(jiān)控系統(tǒng)的訪問與使用，監(jiān)測非授權行為；在移動式計算和電傳工作方面 , 確保使用移動式計算和電傳工作設施的信息安全；
• ◆系統(tǒng)開發(fā)與維護：明確系統(tǒng)安全要求，確保安全性已構成信息系統(tǒng)的一部份；加強應用系統(tǒng)的安全，防止應用系統(tǒng)用戶數(shù)據(jù)的丟失、被修改或誤用；加強密碼技術控制，保護信息的保密性、可靠性或完整性；加強系統(tǒng)文件的安全，確保 IT 方案及其支持活動以安全的方式進行；加強開發(fā)和支持過程的安全，確保應用系統(tǒng)軟件和信息的安全；
• ◆商務連續(xù)性管理：防止商務活動的中斷及保護關鍵商務過程不受重大失誤或災難事故的影響；
• ◆符合：符合法律法規(guī)要求，避免刑法、民法、有關法令法規(guī)或合同約定事宜及其他安全要求的規(guī)定相抵觸；加強安全方針和技術符合性評審，確保體系按照組織的安全方針及標準執(zhí)行；系統(tǒng)審核考慮因素，使效果最大化 , 并使系統(tǒng)審核過程的影響最小化。