认证:ISO27001信息安全管理体系
ISO27001 信息安全认证:
1. 信息安全管理体系(ISMS):是组织依据GB/T22080/ ISO/IEC27001(信息技术 安全技术信息安全管理体系 要求)的要求,基于业务风险方法,建立、实施、运行、监视、评审、保持和改进信息安全的体系,是一个组织整个管理体系的一部分。随着信息化建设工作不断推进,计算机网络规模和应用范围逐步扩大,信息科技的作用已经从业务支持逐步走向与业务的融合。同时,信息化在给企事业单位带来发展和效益的同时,其所形成的风险与传统操作风险的内涵发生了根本性变化。许多信息安全的问题纷纷出现:商业秘密的泄露、客户资料的流失、系统瘫痪、黑客入侵、病毒感染、网络钓鱼、网页改写等。各行业重要信息安全事件也屡屡发生并呈快速上长趋势,特别是一些企业发生的严重信息安全事件,更是给事发企业造成了难以估量的经济或声誉损失,影响了企业业务的稳健运行。
2. 信息安全风险评估:是信息安全工程的重要组成部分,是建立信息安全管理体系的基础和前提。信息安全风险评估分析用户信息安全管理体系范围内业务信息系统IT资产的弱点、面临的威胁以及威胁利用弱点可能造成的影响,了解其风险现状;明确各类风险的特性与等级化处理机制,从而使用户能够选择合适的风险控制措施,更有效地管理信息安全风险。通过识别用户信息安全风险,并进行评估分析,使管理层充分了解信息安全风险现状,明确定义当前系统存在的风险,针对性的制定风险处置计划。同时,根据评估结果确定用户不同业务信息系统的保护等级及相应级别下的安全管理策略;
3. 信息安全渗透测试渗透测试:是经过客户授权的,采用可控制、非破坏性质的方法和手段发现目标服务器和网络设备中存在的弱点。渗透测试是能过模拟黑客的攻击方法来评估计算机网络系统安全的一种评估方法,是一种选择不影响业务系统正常运行的攻击方法进行的测试,是一个渐进的并且逐步深入的过程,包括对系统的任何弱点、技术缺陷或漏洞的主动分析。
4.现在,大多数组织都依靠信息系统支持所有的关键业务流程。这种依赖性导致了不断发展的电子安全威胁,如黑客攻击,数据丢失,违反保密规定,甚至恐怖主义风险。这些日益复杂的攻击可以来自个人,私人组织甚至是秘密的外国情报机构。当这些攻击造成信息的损失,窃取机密数据或损坏关键系统和文件时,组织将会遭受严重后果,包括财务影响和声誉风险。
5.组织可能不会认为自身的信息容易受攻击或者成为攻击的目标,但在没有界限的互联网连接的世界里,业务IT流程的中断可能削弱企业的运作,并给企业的竞争对手获取市场份额的机会。 ISO / IEC 27001提供了一个系统化,井然有序的方法,将保护您信息的机密性,确保业务数据的完整性,并改善您的企业IT系统的可用性。
当前位置: