信息安全管理简要概述
信息安全管理简要概述
第六章信息安全管理第一节信息安全管理概述一、信息安全管理的内容1、什么信息安全管理?通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源,以期有效达到组织信息安全目标的活动。
2、信息安全管理的主要活动制定信息安全目标和寻找实现目标的途径;建设信息安全组织机构,设置岗位、配置人员并分配职责;实施信息安全风险评估和管理;制定并实施信息安全策略;为实现信息安全目标提供资源并实施管理;信息安全的教育与培训;信息安全事故管理;信息安全的持续改进。
3、信息安全管理的基本任务(1)组织机构建设(2)风险评估(3)信息安全策略的制定和实施(4)信息安全工程项目管理(5)资源管理◆(1)组织机构建设★组织应建立专门信息安全组织机构,负责:①确定信息安全要求和目标;②制定实现信息安全目标的时间表和预算③建立各级信息安全组织机构和设置相应岗位④分配相应职责和建立奖惩制度⑤提出信息安全年度预算,并监督预算的执行⑥组织实施信息安全风险评估并监督检查⑦组织制定和实施信息安全策略,并对其有效性和效果进行监督检查⑧组织实施信息安全工程项目⑨信息安全事件的调查和处理⑩组织实施信息安全教育培训⑾组织信息安全审核和持续改进工作★组织应设立信息安全总负责人岗位,负责:①向组织最高管理者负责并报告工作②执行信息安全组织机构的决定③提出信息安全年度工作计划④总协调、联络◆(2)风险评估★信息系统的安全风险信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。
★信息安全风险评估是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
★信息系统安全风险评估的总体目标是:服务于国家信息化发展,促进信息安全保障体系的建设,提高信息系统的安全保护能力。
信息安全管理
信息安全管理信息安全在当今社会的重要性不言而喻。
随着科技的飞速发展和互联网的普及,个人和组织的信息面临着越来越多的安全威胁。
为了保障信息的安全,信息安全管理应运而生。
本文将介绍信息安全管理的基本概念、重要性以及实施信息安全管理的几个关键步骤。
一、信息安全管理的概念信息安全管理是指对信息资产的管理活动,旨在确保信息的保密性、完整性和可用性。
信息资产可以包括各类电子文件、数据库、通信系统、云服务等。
信息安全管理通过建立合理的安全策略、制定安全规范以及采取相应的控制措施,来保护信息资产免受未经授权的访问、修改、破坏和泄露。
二、信息安全管理的重要性1. 组织稳定运营:信息安全管理有助于组织稳定运营,防止因信息被窃取或损坏而带来的业务中断和经济损失。
信息安全管理确保了组织的核心业务和关键信息得到有效的保护,提高了组织的稳定性和可信度。
2. 对抗安全威胁:信息安全管理可以提前识别和评估安全威胁,制定相应的防御措施,降低安全风险。
无论是来自内部还是外部的威胁,信息安全管理都能够有效地应对,并迅速恢复业务正常运行。
3. 遵守法律法规:随着《网络安全法》等相关法律法规的出台,信息安全管理已成为组织合规运营的基本要求之一。
通过信息安全管理,组织可以遵守相关法律法规,并为各方提供合法合规的信息服务。
三、实施信息安全管理的关键步骤1. 制定信息安全策略:信息安全策略是信息安全管理的基础,明确了组织在信息安全方面的整体目标和原则。
制定信息安全策略时,需要充分考虑组织的业务特点和风险状况,确定合适的安全目标和控制措施。
2. 进行信息安全风险评估:信息安全风险评估是识别和评估信息系统中可能出现的安全威胁和风险。
通过对信息系统的安全漏洞和威胁进行分析,可以确定关键信息资产和潜在威胁,为后续的安全控制措施提供依据。
3. 建立安全管理框架:安全管理框架是信息安全管理的总体架构,包括安全组织、安全政策、安全技术和安全控制等组成要素。
信息安全管理
信息安全管理随着信息技术的快速发展和普及应用,信息安全管理变得愈发重要。
无论是企业还是个人,都需要重视和加强信息安全管理,以保护个人隐私和敏感数据的安全。
本文将从信息安全管理的定义、重要性、挑战以及有效的管理措施等方面进行探讨。
一、信息安全管理的定义信息安全管理指的是对信息系统中的数据进行科学、合理和全面的保护与管理的一种综合性管理工作。
它涉及到安全策略的制定、风险评估、安全防护措施的实施、漏洞管理、事件响应以及安全意识培训等多个方面。
信息安全管理的目标是确保信息系统的可靠性、保密性和完整性。
二、信息安全管理的重要性1. 保护隐私和敏感数据:随着互联网技术的迅猛发展,个人和机构的隐私和敏感数据面临着泄露和被滥用的风险。
信息安全管理可以帮助保护个人隐私和敏感数据,防止其被非法获取和利用。
2. 维护商业信誉和声誉:对企业而言,信息安全管理是维护商业信誉和声誉的重要手段。
若企业的信息系统遭受黑客攻击或数据泄露,不仅造成直接经济损失,还可能降低客户对企业的信任。
3. 遵守法律和法规:信息安全管理是企业履行法律和法规要求的重要环节。
根据相关法律规定,一些关键行业和部门必须建立完善的信息安全管理体系,以保护涉及国家利益和安全的重要信息。
三、信息安全管理面临的挑战1. 技术挑战:随着信息技术的不断发展,黑客攻击、病毒传播和网络钓鱼等技术手段也在不断升级。
信息安全管理者需要不断学习和应对这些新技术带来的挑战。
2. 人员挑战:信息安全管理需要专业的团队和人员来负责。
但是,信息安全人才的供应相对紧张,企业往往难以招募到足够的高素质人才。
3. 管理挑战:信息安全管理是一项综合性的管理工作,需要各部门共同参与和配合。
然而,由于各部门之间的信息壁垒和利益冲突,信息安全管理可能面临很大的管理挑战。
四、有效的信息安全管理措施1. 制定安全策略:企业和个人应制定适合自身需求的信息安全策略,明确安全目标和措施,为信息安全管理打下基础。
信息安全管理概述
信息安全管理概述信息安全管理是指对组织的信息进行保护和管理的一系列措施和流程。
随着信息技术的发展和广泛应用,信息安全管理变得越来越重要。
信息安全管理的目的是确保组织的信息资产能够在保密、完整性和可用性方面得到恰当的保护。
1.风险评估和安全政策制定:首先,组织需要进行风险评估,以识别潜在的信息安全威胁和风险。
然后,根据评估结果,组织需要制定适当的安全政策和流程,明确信息安全的目标和要求。
2.组织安全结构和责任:组织需要建立信息安全管理体系,并明确每个人在信息安全管理中的责任和角色。
这包括指定信息安全经理和安全团队,以负责信息安全相关的工作。
3.访问控制和身份认证:信息应该只能被授权的用户访问。
因此,组织需要实施访问控制和身份认证机制,以确保只有经过授权的人可以访问敏感信息。
这可以通过密码、双因素认证等方式实现。
4.物理安全和环境保护:信息不仅仅存在于电子系统中,还可能存在于纸质文件、服务器和其他媒体中。
因此,组织需要实施物理安全措施,如视频监控、门禁系统等,以保护信息资产免受未经授权的访问或损坏。
5.安全意识培训和教育:信息安全管理还需要包括对组织内部员工的安全意识培训和教育。
员工需要了解信息安全政策和流程,并知道如何识别和应对潜在的安全威胁。
6.事件响应和恢复:尽管组织已经采取了各种预防措施,但信息安全事件仍然可能发生。
因此,组织需要建立完善的事件响应和恢复机制,以迅速应对和解决安全事件,并最小化对业务的影响。
7.合规性和法律要求:组织可能会受到各种法律和法规的约束,这些法律和法规通常要求组织采取特定的信息安全管理措施。
因此,组织需要确保其信息安全管理符合适用的合规性要求。
然而,信息安全管理是一个持续的过程,需要不断地进行监测和改进。
组织需要定期评估其信息安全管理的有效性,并根据评估结果制定相应的改进计划。
只有持续不断地加强信息安全管理,组织才能更好地应对不断变化的信息安全威胁。
信息安全管理概述
信息安全管理概述信息安全管理是指在网络环境下,对信息进行保护和管理的一系列工作。
随着互联网的快速发展和信息技术的广泛应用,信息安全问题日益突出,给个人、组织和国家带来了巨大的风险和挑战。
因此,信息安全管理成为了必不可少的一项工作。
信息安全管理需要建立完善的安全策略和制度。
安全策略是指明确的目标和原则,制度则是具体的规章制度和流程。
通过制定安全策略和制度,可以使信息安全工作有章可循,有序进行。
同时,这也可以帮助组织和个人建立起安全意识和安全习惯,提高信息安全管理的效果。
信息安全管理需要进行风险评估和安全漏洞扫描。
风险评估是指对信息系统和网络进行全面的安全检查,找出潜在的安全风险和漏洞。
通过风险评估,可以及时发现并解决可能存在的安全问题,从而预防信息泄露、数据丢失等安全事件的发生。
安全漏洞扫描则是利用专业的工具对信息系统进行主动扫描,找出其中的漏洞和弱点,以便及时修补和加固。
第三,信息安全管理需要加强对员工的培训和教育。
员工是组织中最重要的安全环节,他们的安全意识和行为习惯直接影响着整个组织的信息安全。
因此,组织需要定期开展安全培训和教育,提高员工对信息安全的认识和理解,让他们掌握一定的安全技能和知识,能够识别和应对可能的安全威胁。
第四,信息安全管理需要建立健全的安全监控和响应机制。
安全监控是指对信息系统和网络进行实时的监控和分析,发现异常行为和攻击行为。
通过安全监控,可以及时发现并应对安全事件,减少安全事故的发生和对组织的损害。
安全响应则是在安全事件发生后,采取相应的措施进行应对和处理,防止事件的进一步扩大和恶化。
信息安全管理需要加强与外部合作和交流。
信息安全是一个系统工程,需要各方共同参与和努力。
组织应该与相关的政府部门、安全厂商、专家学者等建立合作关系,共同研究和探讨信息安全的问题,分享安全经验和技术,形成合力,提高整个社会的信息安全水平。
信息安全管理是一项复杂而重要的工作,需要建立完善的安全策略和制度,进行风险评估和安全漏洞扫描,加强员工培训和教育,建立安全监控和响应机制,与外部合作和交流。
信息安全管理体系介绍
信息安全管理体系介绍一、什么是信息安全管理体系信息安全管理体系(Information Security Management System,ISMS)是指一个组织内部通过一系列的政策、流程、程序和技术手段来保护信息和信息系统安全的全面体系。
它是一个结合了组织、人员、技术和流程的系统,旨在确保信息得到正确的保护、处理和使用。
二、为什么需要信息安全管理体系随着互联网和信息化的发展,信息安全面临着越来越多的威胁和挑战。
信息泄露、黑客攻击、病毒传播等风险日益增多,给组织和个人带来了巨大损失。
建立信息安全管理体系可以帮助组织从源头上预防和减少信息安全风险,保护组织和个人的利益。
三、信息安全管理体系的要素建立一个有效的信息安全管理体系需要考虑以下几个要素:1. 策略和目标组织需要明确信息安全的策略和目标,根据组织的性质、规模和风险等级确定信息安全的优先级和重点。
策略和目标应与组织的整体战略和目标相一致。
2. 组织和管理责任组织应指定信息安全管理的责任人,明确各级管理人员的职责和权限。
建立信息安全管理委员会或类似的机构,负责制定和审查信息安全政策、流程和控制措施。
3. 全面风险评估和管理组织需要对信息资产进行全面的风险评估,确定各种威胁的概率和影响,并制定相应的风险控制措施。
风险管理应是一个持续的过程,定期进行风险评估和改进。
4. 安全意识培训和教育组织应加强对员工的安全意识培养和教育,提高员工对信息安全的重视和认识。
通过定期的培训和教育活动,帮助员工了解信息安全的重要性,并掌握相关的安全知识和技能。
5. 安全控制和技术措施组织需要制定和实施一系列安全控制措施和技术手段,以防止和减少信息安全事件的发生。
包括访问控制、身份认证、加密技术、网络防护、系统监控等措施。
6. 事件响应和恢复组织需要建立针对信息安全事件的响应和恢复机制,及时发现、响应和处理安全事件,减少损失,恢复业务正常运行。
7. 审计和持续改进组织应定期进行内部和外部的信息安全审计,评估信息安全管理体系的有效性,发现问题和不足,并制定改进措施。
简述信息安全管理的内容
简述信息安全管理的内容信息安全管理是指对企业或组织的信息进行保护和管理的一系列措施和方法。
随着信息技术的迅猛发展,信息安全面临着越来越多的挑战,因此,建立一套完善的信息安全管理体系,对于保障企业的信息资产安全至关重要。
信息安全管理的内容主要包括以下几个方面:1. 信息安全策略与规划信息安全策略是企业信息安全管理的基础,通过对企业信息安全目标、原则和策略的制定,明确安全管理的方向和目标。
同时,还需要制定信息安全规划,包括对信息资产进行分类与评估,确定安全需求和控制措施,确保信息安全得到有效的管理和保护。
2. 风险评估与控制风险评估是信息安全管理的核心环节,通过对企业信息系统的漏洞和威胁进行评估,确定信息安全风险的等级和可能造成的损失。
在此基础上,采取相应的控制措施,包括物理安全措施、技术安全措施和管理安全措施,降低信息安全风险的发生概率和影响程度。
3. 安全策略与技术实施信息安全管理需要将安全策略转化为具体的技术实施措施。
这包括建立安全的网络架构,采取防火墙、入侵检测系统和安全审计系统等技术手段,对网络进行安全监控和防护。
同时,还需要对系统进行安全加固和漏洞修补,确保系统的安全性。
4. 安全培训与教育信息安全管理需要全员参与,每个员工都是信息安全的一道防线。
因此,企业需要开展信息安全培训和教育,提高员工的安全意识和防范能力。
培训内容包括信息安全政策、安全操作规范、风险防范和应急响应等,使员工能够正确使用信息系统、识别安全威胁和采取相应的措施。
5. 安全监控与事件响应安全监控是信息安全管理的重要环节,通过对网络流量、系统日志和安全事件的实时监控,及时发现和应对安全威胁。
同时,还需要建立安全事件响应机制,对安全事件进行及时的处置和调查,避免安全事件扩大和重演。
6. 安全审计与改进信息安全管理需要进行定期的安全审计,对信息系统的安全性进行评估和检查,发现安全隐患和漏洞,及时进行改进和修复。
安全审计包括对系统配置、访问控制、日志记录和备份恢复等方面的检查,确保信息系统的安全性和可用性。
简述信息安全管理
简述信息安全管理
信息安全管理是指为防止数据在收集、存储、传输和使用过程中受到未许可的访问、篡改或泄露,采取的系统性的管理行为。
它旨在确保信息的安全,防止泄露、损坏和不正当使用的情况发生。
信息安全管理包括有关安全准则、安全政策、安全体系结构、安全认证、安全操作标准和安全审计等内容。
安全准则是经过讨论、确定和审批的具体行为要求,用于支持管理活动,其中安全政策是组织定义的指导管理行为的总体声明,而安全体系结构指的是组织系统的组织结构、功能职责和责任范围。
安全认证是指为保证信息安全发挥作用,经过认证认可的安全程序,它将授权特定的用户对特定的系统进行访问、编辑和管理等功能的技术和操作程序组成。
安全操作标准,是指组织对用户有责任遵守的具体操作行为,以确保信息安全,而安全审计是指为确定组织是否正确遵守安全政策和操作标准而进行的系统化审计和报告程序。
从上述可以看出,信息安全管理是一个系统性的工作,有助于维护组织信息安全,确保其私密性、完整性和可用性。
它需要不断改进,以应对新的技术和非技术威胁,以及可能导致数据泄露、损坏和不正当使用的新的组织行为和运作风格。
- 1 -。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第六章信息安全管理第一节信息安全管理概述一、信息安全管理的内容1、什么信息安全管理?通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源,以期有效达到组织信息安全目标的活动。
2、信息安全管理的主要活动制定信息安全目标和寻找实现目标的途径;建设信息安全组织机构,设置岗位、配置人员并分配职责;实施信息安全风险评估和管理;制定并实施信息安全策略;为实现信息安全目标提供资源并实施管理;信息安全的教育与培训;信息安全事故管理;信息安全的持续改进。
3、信息安全管理的基本任务(1)组织机构建设(2)风险评估(3)信息安全策略的制定和实施(4)信息安全工程项目管理(5)资源管理◆(1)组织机构建设★组织应建立专门信息安全组织机构,负责:①确定信息安全要求和目标;②制定实现信息安全目标的时间表和预算③建立各级信息安全组织机构和设置相应岗位④分配相应职责和建立奖惩制度⑤提出信息安全年度预算,并监督预算的执行⑥组织实施信息安全风险评估并监督检查⑦组织制定和实施信息安全策略,并对其有效性和效果进行监督检查⑧组织实施信息安全工程项目⑨信息安全事件的调查和处理⑩组织实施信息安全教育培训⑾组织信息安全审核和持续改进工作★组织应设立信息安全总负责人岗位,负责:①向组织最高管理者负责并报告工作②执行信息安全组织机构的决定③提出信息安全年度工作计划④总协调、联络◆(2)风险评估★信息系统的安全风险信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。
★信息安全风险评估是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
★信息系统安全风险评估的总体目标是:服务于国家信息化发展,促进信息安全保障体系的建设,提高信息系统的安全保护能力。
★信息系统安全风险评估的目的是:认清信息安全环境、信息安全状况;有助于达成共识,明确责任;采取或完善安全保障措施,使其更加经济有效,并使信息安全策略保持一致性和持续性。
★信息安全风险评估的基本要素使命:一个单位通过信息化实现的工作任务。
依赖度:一个单位的使命对信息系统和信息的依靠程度。
资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。
价值:资产的重要程度和敏感程度。
威胁:一个单位的信息资产的安全可能受到的侵害。
威胁由多种属性来刻画:威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果。
脆弱性:信息资产及其防护措施在安全方面的不足和弱点。
脆弱性也常常被称为漏洞。
风险:由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。
它由安全事件发生的可能性及其造成的影响这两种指标来衡量。
残余风险:采取了安全防护措施,提高了防护能力后,仍然可能存在的风险。
安全需求:为保证单位的使命能够正常行使,在信息安全防护措施方面提出的要求。
安全防护措施:对付威胁,减少脆弱性,保护资产,限制意外事件的影响,检测、响应意外事件,促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。
★信息安全风险评估的标准制定工作2004年全国信息安全标准化技术委员会将《信息安全风险评估指南》列入2005年度国家信息安全标准制定工作计划中, 将《信息安全风险管理指南》列入国家信息安全标准研究工作规划中。
目前《信息安全风险评估指南》已完成评审, 报国家标准管理委员会颁布国信办已以国信【2006】9号文的形式发各部委和省市★《信息安全风险评估指南》主要内容规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则;介绍了风险评估的定义、风险评估的模型以及风险评估的实施过程;详细描述了对资产、威胁和脆弱性的识别方法;描述了风险评估在信息系统生命周期中的作用;描述了风险评估的不同形式;在附件中介绍了信息安全风险评估的方法、工具和实施案例◆(3)信息安全策略的制定和实施策略:解决某一方面问题的目的、范围、流程、准则的集合信息安全策略文件就每一个策略建立实施计划,落实所需资源策略发布后,实施培训策略的评审和修订◆(4)信息安全工程项目管理需求分析;规划立项;实施;验收;工程监理◆(5)资源管理信息安全预算;人力资源;基础设施;信息安全教育培训二、信息安全管理体系1、什么是管理体系★ISO9000-2000中的相关定义体系system——相互关联和相互作用的一组要素管理体系management system——建立方针和目标并实现这些目标的体系我国管理体系组织机构国家认证认可监督管理委员会中国合格评定国家认可中心CNAB CNAT CNAL★目前流行的管理体系质量管理体系QMS——ISO/IEC9000,9001,9004等;环境管理体系EMS——ISO/IEC14000;职业安全卫生管理体系——OHMSAS18000;信息安全管理体系ISMS ——ISO/IE17799&ISO27001;2、信息安全管理体系★ISMS:◇Information Security Management System 信息安全管理体系◇指在信息安全方面指挥和控制组织的以实现信息安全目标的相互关联和相互作用的一组要素。
◇信息安全目标应是可度量的★信息安全管理体系要素包括◇信息安全方针、策略;◇信息安全组织结构;◇各种活动、过程;◇信息安全控制措施;◇人力、物力等资源;◇其他……信息安全管理体系方法图解:三、信息安全管理标准★安全标准可以分成以下几大类:安全体系结构和框架标准;分层安全协议标准;安全技术标准;具体应用安全标准;安全管理标准当前信息安全面临着“道高一尺,魔高一丈”的尴尬处境,在信息安全技术进步的同时,信息安全问题却越来越严重,人们逐渐深刻地认识到,信息安全不只是个技术问题,而更多地是商业、管理和法律的问题。
实现信息安全不仅仅需要采用技术措施,还需要更多地借助于技术以外的其它手段,如规范安全标准和进行信息安全管理,这一观点被越来越多的人们所接受。
单纯的技术不能提供信息全面的安全保护,仅靠安全产品并不能完全解决信息的安全问题已逐渐成为共识。
在全社会普遍关注信息安全的情况下,各个企业或机构又都面临遵循保密标准与安全法规的要求,越来越多的经理人和董事会或领导层也逐渐认识到自己在信息安全管理中所必须担负的责任和义务。
同时,有关信息安全标准、法律和法规的数量正在迅速增加,许多机构都面临遵守各种安全标准和法规的要求。
随着越来越多的标准、法律和法规的出台,统一安全标准的需求自然成为一个很现实的问题。
★信息安全管理国际标准的发展过程1992年,世界经济合作与发展组织(oecd)发表了《信息系统安全指南》,旨在帮助成员和非成员的政府和企业组织增强信息系统的风险意识,提供一般性的安全知识框架。
美国、oecd的其他23个成员,以及十几个非oecd成员都批准了这一指南。
该指南旨在提高信息系统风险意识和安全措施,提供一个一般性的框架以辅助针对信息系统安全的有效的度量方法、实践和程序的制定和实施,鼓励关心信息系统安全的公共和私有部门间的合作。
促进人们对信息系统的信心,促进人们应用和使用信息系统,方便国家间和国际间信息系统的开发、使用和安全防护。
这个框架包括法律、行动准则、技术评估、管理和用户实践,及公众教育/宣传活动。
该指南的最终目的是作为政府、公众和私有部门的信息安全管理的基准,相关机构能通过此基准来衡量本身在信息安全管理方面的进展。
1998年,国际会计师联合会发表了一个有关《信息安全管理》的文件,认为信息系统安全的目标有三个:可用性,即确保信息系统在需要的时候可用;保密性,即对数据信息的访问控制设计完备的策略;完整性,即保证数据信息不受未经授权的修改。
1993年1月,英国标准协会(british standards institution,简称bsi)成立了信息安全的行业工作小组。
1993年9月,信息安全管理体系实施要则出版。
1995年2月,英国标准协会制定的信息安全管理体系标准bs7799-1出版。
1998年2月,bs7799-2出版。
bs7799对信息安全的控制范围、安全准则、安全管理等要素做出了规范性的表述。
2002年9月:bs7799-2:2002出版。
目前,在信息安全管理体系方面,ISO27001(原BS7799标准)已经成为世界上应用最广泛与典型的信息安全管理标准。
该标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准,并且适用于大、中、小组织。
1998年英国公布标准的第二部分BS 7799-2《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,是一个组织的全面或部分信息安全管理体系评估的基础,可以作为一个正式认证方案的根据。
BS7799-1与BS7799-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。
2000年12月,BS7799-1:1999《信息安全管理实施细则》通过了ISO的认可,正式成为国际标准――ISO/IEC17799-1:2000《信息技术-信息安全管理实施细则》。
2002年9月5日,BS7799-2:2002草案经过广泛的讨论之后,终于发布成为正式标准――ISO27001,同时BS7799-2:1999被废止。
2006年5月,BS7799-3:2006《信息安全风险管理指南》出版。
针对ISO27001标准的受认可的认证,是对组织信息安全管理体系(ISMS)符合BS7799-2 要求的一种认证。
这是一种通过权威的第三方审核之后提供的保证:受认证的组织实施了信息安全管理体系,并且符合BS7799-2 标准的要求。
通过认证的组织,将会。