业务介绍 业务流程 赛栄能力 服务指南 意见反馈.doc

业务介绍 业务流程 赛栄能力 服务指南 意见反馈.doc业务介绍业务流程赛栄能力服务指南意见反馈一、信息安全管理体系标准业务介绍1、背景介绍信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,的问世及网丄交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、***、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存戻至国家安全都带來严重的影响。安全问题所带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损失:•直接损失:丢失订单,减少直接收入,损失生产率;•间接损失:恢复成本,竞争力受损,殆牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市值或政治声誉;•法律损失:法律、法规的制裁,带來相关联的诉讼或追索等。所以,在亨用现代信息系统带来的快捷、方便的同吋,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。 俗话说“三分技术七分管理”。H前组织普遍采用现代通信、计算机、网络技术来构建纽织的信息系统。但大多数组织的最高管理层对信息资产所而临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在--人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务Z安全与正常运作。2、标准发展H前,在信息安全管理体系方面,4027001:2005—一信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织,如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。2008年6月,£027001同等转换成国内标准GB/T22080-2008,并在2008年11月1口正式实施。 经过多年的发展,信息安全管理体系国际标准已经出版了一系列的标准,其ISO/IEC27001是可用于认证的标准,其他标准可为实施信息安全管理的组织提供实施的指南。冃前各标准的现行状态如下表1:表1IS027000标准族现行状态序号标准编号标准名称现行状态IS027000信息技术-安全技术•信息安全管理体系・概论及术语2009年出版IS027001信息技术-安全技术・信息安全管理体系・要求2005年出版ISO/IEC27002信息技术-安全技术・信息安全管理・为规范2005年岀版ISO/IEC27003信息技术-安全技术・信息安全管理体系・实施指南5ISO/IEC27004信息技术-安全技术-信息安全管理-测量2009年出版6ISO/IEC27005信息技术-安全技术・信息安全风险管理2008年岀版7ISO/IEC27006信息技术-安全技术-认证机构要求2007年出版8ISO/IEC27007信息技术-安全技术-信息安全管理体系审核指南委员会草案9ISO/IEC27008控制审核员指南委员会草案10行业间交流的信息安全管理工作组草案11ISO/IEC27011信息技术-安全技术-基于ISO/IEC27002通讯行业信息安全管理体2008年出版12ISO/IEC27013信息技术-安全技术-?ISO/IEC20000-1及ISO/IEC27001一体化实施指南工作组草案13ISO/IEC27014信息安全治理框架工作组草案14ISO/IEC27015金融及保险行业信息安全管理体系批准的项FlISO/IEC27031信息技术-安全技术-业务连续性的ICT准备能力指南最终委员会草案概述和概念设计和实施网络安使用安全网关确保ISO/IEC27032信息技术-安全技术-网络空间安全指南委员会草案17ISO/IEC27033-1信息技术-安全技术-网络安全-第1部分:2009年出版18ISO/IEC27033-2信息技术-安全技术-网络安全-第2部分:全指南最终委员会草案19ISO/IEC27033-3网络安全-第3部分参考网络情境信息技术-安全技术威胁、设计技术和控制活动最终委员会草案20ISO/IEC27033-4信息技术-安全技术-网络安全-第4部分:网络间的通信安全-威胁、设计技术和控制活动工作组草案应用安全-第1部分:概述和概念最终委员会草案22ISO/IEC27034-2应用安全-第2部分:组织规范性框架批准的新项H23ISO/IEC27034-3应用安全-第3部分:应用安全管理过程批准的新项n24ISO/IEC27034-4应用安全-第4部分:应用安全确认批准的新项H25ISO/IEC27034-5应用安全-第5部分:协议和应用安全控制的数据结构批准的新项「I26ISO/IEC27035信息技术-安全技术-信息安全事件管理最终委员会草案