搜索
信息安全概述(InformationSecurity,IS)就是指组织/企业保障资产免于「不可接受风险的」的所有方针、程序与制度。我们以下图(一般企业办公场所)做一个简单说明:我们可以从左到右,由上到下来看,左上角质量管理室有产品开发过程与质量管制相关文件;在左下角有技术支持室,内有计算机、网络配置信息、软件光盘;机房内有服务器、主机、防火墙、网络设备、语音交换机、灭火器、UPS与网线;左边中间为接待处与收发室,有访客及信件;中间为系统开发部,内有开发机、原代码、可行性分析报告、项目开发计划、软件需求说明书、概要设计说明书、详细设计说明书、测试计划、测试分析报告、开发工具、打印机、复印机、开发人员等;开发部右方有产品展示室;下方有库房,内有耗材、未使用设备;中间区域下方为市场营销部,内有市场营销资料、市场情报、客户数据、产品价格;市场营销部旁有人事部,内有人员个人资料、劳动合同、复印机等;右上方有会议室;右边中间为总经理与副总经理高层主管办公室,内有组织/企业客户数据、项目合同;右下方财务室有帐册、凭证、财务系统等。我们可将这些与组织/企业相关的人、事、地、物分为五大类物理类(办公室与设备),软件类(计算机系统与开发工具),信息类(财务与会计帐、人事资料、市场情报、合同、开发相关数据、纪录),人员类(企业员工、访客或外协人员),服务类(电力、网络),这五类都是组织/企业的资产,也是信息安全所要管控的范围。那么「信息安全」关注的是什么?可包括:保密性(Confidentiality)-确保只有经授权的人员才可访问信息,就是信息在传输过程不会被人不当窥视,在存储或处理中被授权者才可看到;完整性(Integrity)-确保信息及系统不会遭受恶意的窜改或变更,此即包括信息与系统在传送中、储存时或处理中的完整性;可用性(Availability)-确保经授权人员有需要时,可以取得信息或使用系统。所以我们可以知道信息安全可达到「组织/企业运营时,企业关键资产均可维持既定的保密性、完整性与可用性,以确保组织/企业业务运营的持续」BPO业务流程外包服务(如数据、影像的处理、录入、分析…等)在接到特殊行业提供服务时,如银行金融外包服务,在信息安全要求下可在ISO27001标准上,加入银行信用卡处理信息安全标准PCI要求建力基于项目的信息安全管理体系。一般安全基础:基础安全:工作区域安全、门禁/监控系统、通信线路与硬件安全。操作作业安全:如数据/影像切割、过程备份、流程监控与数据清理。人员管理:信息安全意识培训、人员离到职/岗位变更的资产与权限管控。环境安全:消防系统、支持性设施…等。访问控制安全:人员账号/口令管控(含特权管理)、操作系统访问安全、应用系统访问安全、数据库访问安全、网络访问安全。数据传输、存储安全:如网络传输、物理传输、数据备份、存储介质管控。……………………………等单以技术手段获得安全保障的效果有限必须辅以相应的管理制度和操作程序才能得到真正的安全保障。信息安全是通过一整套适当的控制措施来实现的,控制措施包括方针、组织/企业架构、流程、实施和纪录。必需建立一整套的管理体系,才能满足组织/企业特定的安全目标。企业面对的挑战信息化的浪潮席卷全球,一种全新的先进技术的出现,把人类的生活引导至知识经济的数字社会。信息技术的应用,摧化人们的工作方式、生活环境与思维观念的具大变化,大步地推动人类社会的发展及文明的进步,把人类带入新时代。然而,人们在享受数字社会带来的巨大利益与方便的同时,也面临着信息安全严峻考验。信息安全的目的是为了达成保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。保密性:确保只有经授权的个人、组织或程序才能访问信息;完整性:保护资产正确与完整的方法;可用性是要确保经授权的使用者(如客户、相关方、主管单位与社会大众等),在需要时可以取得适当的信息。•防火墙(Firewall)•加密(Encryption)•认证(Authentication)•虚拟私人网络(VPN)•防毒(Anti-Virus)•入侵检测系统(IDS)•信息•人员•设备•技术•流程•法律信信息息安安全全不不是是一一种种或或多多种种产产品品,,而而是是一一套套完完整整的的信信息息安安全全管管理理体体系系!!!!信息安全技术vs.信息安全管理解决方案什么是ISO27001?国际标准标准组织(ISO)在2005年10月公布了信息安全管理体系(ISMS)的国际标准─ISO27001:2005。ISO27001包含所有信息安全相关事项,适用于各类型组织/企业。制定ISO27001的目的在于防护组织/企业信息避免被滥用或窃取。ISO27001对企业的效益:ISO27001证书的获得,可以向客户表明,组织/企业遵循了所有适用的法律法规。从而保护企业和相关方的信息交换、知识产权、商业秘密等增加市场的竞争优势。信息安全管理体系的建立可以和外部团体(如合作伙伴)及客户与内部团体(如股东)说明组织/企业为保护信息所做的努力,使其对组织/企业的信心加强,并有助于在同行业中的竞争优势,提升客户满意度及形象。提升员工信息安全积极态度,规范信息安全制度,降低人为所造成的信息安全事故机率。提升公司运营目标及达到业务永续经营要求目标。通过风险评估,确认企业所面临的威胁为何、评估发生的机率与潜在的冲击,以完成组织/企业合理的信息安全设备投入计划,花最少的钱得到最大的效益。为何选择北京治信方程?我们的专业我们的主要业务专家级的专业咨询师,拥有国内外各产业咨询经验。在国际认证机构注册的ISO27001审核师担任主导咨询师。提供专业的安全技术服务(如弱点扫描、渗透测试与社交工程测试)。提供专业的信息安全培训服务。与国际上的认证机构保持密切联络,掌握最新标准发展动态。提供整合各体系服务,以达成体系的一致性、最佳化与高效率(如ISO20000、ISO9001、ISO14001、ISO18001与CMMI)。我们的方法ISMS咨询辅导规划现况分析通过全面性的访谈,了解组织/企业文化背景与业务目标,和在ISMS范围内的信息安全管理与标准要求的差距。提供差异性分析报告(包括现况改善建议),在未来进行ISMS导入时,可针对分析结果较弱的领域投入较多资源进行改善ISO27001咨询辅导ISO20000咨询辅导信息安全与IT服务管理相关教育培训信息安全技术培训协助客户进行第二方审核依据组织/企业业务运营目标、所在位置、资产及技术等特性来制定ISMS方针、目标及范围。定义组织/企业的风险评估方法执行风险评估,并评估风险处理的各项选项作法。制定风险处理计划,并依据风险处理计划进行风险处理。测量所选控制措施或控制措施群的有效性是否满足风险管理要求及符合ISMS方针及目标。确保各项改善达到预期目标。风险评估与管理针对ISMS范围相关资产建立资产清册,确认分类方法与资产运营价值评估。分析重要资产可能出现的威胁与弱点与风险评价进行风险评估。依据风险评估结果,提出风险改善建议,执行风险处理计划。文件制定依据ISO27001标准的要求,协助制定必要的方针文件、程序、管理办法、表单与纪录等四级文件并实施,以建立符合PDCA持续改善的ISMS。注:信息安全文件至少包括ISO270014-8章及所选A5-A1511个领域相对应控制措施,但不以此为限体系实施运行依据不同角色进行信息安全培训(如一一般人员、领导阶层…等)。体系运行后,进行文件修订。技术性审核由专业人员对组织/企业信息系统进行技术性审核(如弱点扫描、外部扫瞄测试与社交工程测试..等)。内部审核本公司顾问师到场协助进行内部审核,并协助执行纠正及预防措施关闭不符合事项,产出内部审核报告。认证作业预评作业:协助组织/企业提出认政预评作业,由认证机构指派审核师进行文审及现场审核,依据第三方认证机构预评结果不符合事项发现进行纠正及预防措施改善,以利后续正式认证(可选)。正式认证:提供合格且经组织/企业同意的外部认证机构执行认证作业。本公司顾问将到场进行陪检提供必要协助,以利顺利取得合格证书。常见问题解答ISO27001只和IT相关吗?否,ISO27001包含所有信息交换面向,从电子方式储存、传送到公开场合的信息发布。ISO27001能协助组织/企业将各种天灾人祸,如火灾、水灾、黑客、数据遗失、保密文件遭窃…等活动的冲击降到最低,以达到组织/企业主要业务的永续运营。ISO27001可应用在所有的产业吗?是的,任何类别的组织/企业都适用,ISO27001是信息安全的通用准则。是否一定能通过ISO27001认证?是的,ISO27001是个符合性标准认证,本公司顾问师会对不符合项,依据不同组织/企业现况协助进行改善满足标准要求。更多详细信息,请登录我们的网站()或与我们联系北京电话:+86-1065637663(代表号)联系人:庞小姐邮件:bj-office@secure-engine.org邮编:100022地址:北京市朝阳区永安东里16号北京CBD国际大厦五层V583号上海电话:+86-2159880567(代表号)联系人:孟先生邮件:sha-office@secure-engine.org邮编:201702