交运集团青岛温馨巴士有限公司 信息安全管理体系(ISMS)及管理规定
第一部分 信息安全管理体系(ISMS)
1 ISMS产生的背景、特点和发展趋势 1.1 ISMS标准产生的背景
目前,我们虽处于和平年代,但全球经济一体化给世界各国带来的经济与挑战不可小觑。来自敌对国家、恐怖分子、内部人员、经济竞争者、黑客等方面的威胁,信息安全已上升为国家战略。它事关国家政治稳定、军事安全、社会安定、经济有序运行的全局性问题。
只有在人员、服务、硬件、软件、数据与文件以及知识产权与专利这五大方面采取切实可行的控制措施,才能有效避免、控制、预防信息安全事件发声,切实把信息安全风险控制在可以接受的水平。
1.2 ISMS标准的由来
1993年BS7799标准由英国贸易工业部立项 BS7799-1:1999《信息安全管理实施细则》 BS7799-2:2002《信息安全管理实施规范》
ISO/IEC 27001:2005《信息安全 安全技术 信息安全管理》 GB/T 22080-2008/ISO/IEC 27001:2005《信息技术 安全技术
信息安全管理体系 要求》
1.3 ISMS标准的主要特点
●与质量、环境、能源、职业健康安全等管理体系高度兼容,即管理理念、管理模式、管理的预期结果基本一致。
●“向管理要效益”是该标准的精华。即并不需要组织投入大量的资源就能在信息安全事件的防范上起到“立竿见影”的效果。 ●可借助质量管理的八项原则,PDCA,持续改进。
●有133种控制目标和控制措施(ISMS标准的附录A)供组织选用。
●组织可因地制宜,在现有管理体系基础上,有机嵌入ISMS,以达到事半功倍的效果。
1.4 ISMS标准的发展趋势
ISMS标准既适用于新兴产业,又适用于传统产业;既适用于服务业,又适用于制造业。
总之,只要有信息资产的组织,均可按GB/T22080-2008/ISO/IEC 27001:2005《信息技术安全技术信息安全管理体系要求》建立与保持ISMS。
2 信息安全管理体系建立的意义和作用
2.1 强化员工的信息安全意识,规范组织信息安全行为。
2.2 确保组织的关键信息资产始终处于全面系统的受控保护状态,以保持组织的竞争优势。
2.3 在信息系统受到侵袭时,确保业务持续开展,并将损失降到最低程度。
2.4 有效规避法律风险,确保组织切实履行社会责任。
2.5 如果通过ISMS认证,表明该管理体系运行有效,证明组织有能力保证信息安全,提高组织的知名度与信任度。
3 GB/T 22080-2008/ISO/IEC 27001:2005标准 3.1 术语与定义 3.1.1 资产
对组织有价值的任何东西。
信息对一个组织而言具有重要的价值,信息时可以通过多种媒
体传递和存在。
3.1.2 保密性
信息不能被未被授权的个人、实体或者过程利用或知悉的特性。
3.1.3 可用性
根据授权实体的要求可访问和利用的特性。
3.1.4 完整性
保护资产的正确和完整的特性。
保密性、可用性和完整性是信息保护的核心,这三者缺一不可。
3.1.5 信息安全
保持信息的保密性、完整性、可用性;另外也可包括例如真实
性、可核查行、不可否认性和可靠性等。