信息安全管理将成为企业关注的焦点
来源:天津视窗 更新时间:2007-04-14

天津视窗4月13日讯:在信息技术飞速发展的今天,网络经济、数字地球等新技术和新概念蜂拥而至,当人类受益于科学技术带来便利的同时,信息安全已经成为人们关注的焦点。随着信息技术的高速发展,特别是互联网及电子商务的普及,信息安全威胁涌现出诸多新的表现形式:信息系统瘫痪、黑客入侵、病毒感染、流氓网页、木马、客户资料的流失及内部资料的泄露等,这些已给组织的经营活动,甚至给国家安全带来严重的影响。数据显示,全球每年由于安全事件导致的损失高达数百亿美元,而在这些安全事件中,由于缺乏管理所致的比例高达70%。

    因此,在享受现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前迫切需要解决的问题。然而,当今的信息安全问题仅靠添置安全设备已经无法从根本上解决问题。所谓“三分技术、七分管理”,解决信息安全问题除了从技术方面着手外,更需要从系统的角度去规划和建立信息安全管理体系。

    安全性、完整性、可用性是信息安全重点控制的三个方面。信息安全管理的目标是保护信息资源价值不受侵犯,保证信息资产的拥有者面临最小的风险和获取最大的安全利益,使信息基础设施、信息应用服务和信息内容本身,能够抵御来自各方面的安全风险。站在系统的高度,对组织的信息安全进行全面规划,从界定范围、识别信息资产,理清系统中现存的和潜在的各种风险,充分评估这些风险可能带来的威胁与影响,从而制定组织安全方针、风险控制准则和控制措施等。将技术手段和管理措施相结合,制定对应的信息安全职责、工作流程、规范、监督机制和持续改进机制,即建立起一个系统的、完备的信息安全管理体系。

    针对信息安全所面临的问题,国际标准化组织在英国标准BS7799的基础上,制订了ISO 27001和ISO 17799的两个标准,并迅速在世界范围内得到运用。

    据天津市首家也是目前唯一具有资质可以从事信息安全管理体系认证咨询的公司天津海泰咨询有限公司的资深信息安全咨询专家秦方介绍,目前全球已有3千多家企业或机构通过了信息安全管理体系认证。在我国某些行业,如信息服务提供商(BPO)和对外软件开发商等,通过ISO 27001认证已成为承接境外客户订单的必要条件,另外,许多跨国公司、银行、通讯、保险业,以及电子商务平台服务商也在积极导入该体系。ISO 27001将成为继ISO 9000、ISO 14000、ISO 18000之后,最受关注的认证标准。