信息安全管理

ISO 27001定义信息安全

admin

毋庸置疑,信息是信息时代的货币。在通常情况下,信息是一个组织拥有的最宝贵的资产,即使该信息没有受到正式和全面的估价。
IT治理是董事会和管理团队用来引导和控制企业各种结构、标准和流程,旨在有效地管理,保护和利用其组织的信息资产。

信息安全管理是IT治理的一个子集,它的重点是保护一个组织的信息资产安全。对此,昆明亭长朗然科技有限公司信息安全管理实战专员董志军强调称:领会到这一点,是信息安全与业务沟通的关键,也是信息安全人员与高管们沟通的基础。

信息资产面临的风险
资产在ISO 27001中的定义为“对组织具有价值的任何东西”。信息资产面临着各种各样的威胁,这些威胁包括来自外部的和内部的,威胁的范围包含有随机产生的和非常 具体的。风险包括自然灾害,欺诈和其他犯罪活动,也包括用户错误和系统故障。信息风险可以影响信息资产的一个或多个信息安全基本三要素或信息安全三属性, 它们是:可用性、机密性和完整性。

ISO 27001中将这些三要素或者三个属性定义为:
1.可用性(AVAILABILITY)- ‘经授权的实体在正常需求下可以访问和使用的属性’,信息允许由人类用户访问,以及软件程序访问;
2.保密性(CONFIDENTIALITY)- ‘信息不提供或披露给未经授权的个人、实体或程序的属性‘;
3.完整性(INTEGRITY)- ‘维护资产的准确性和完整性的属性’。

信息安全
ISO 27001将信息安全定义为“对信息的机密性,完整性和可用性的保持”。此外,如真实性(防伪确认),可跟踪性,不可抵赖性和可靠性等属性也可以参与进来。信息安全管理体系
ISO 27001定义了ISMS,即Information Security Management System,亦即信息安全管理体系,是整个管理系统的一部分,以业务风险方法为基础,其目的是建立、实施、运行、监督、评审、保持和改进信息安全。该管 理体系包括“组织的结构、方针政策、规划活动、职责、实践(惯例)、程序、过程和资源。ISMS的存在是为了维持机密性,完整性和可用性。如图所 示,ISMS确保组织的信息和信息资产的机密性,完整性和可用性,最关键的信息资产在所有三个属性都是重要的。

看似非常基础的信息安全三要素、三元组或大三角“C、I、A”,其实很多职场人员并不懂,甚至包括不少IT人员。当然,在多数情况下,不懂这些基础理论,并不会影响用户们遵守信息安全规章制度和管理要求。不过,如果让用户们掌握了这些入门知识,他们对安全的理解会更上一层楼,在思想上也更能接受信息安全政策及指南,进而在行动中积极主动的实践信息安全。

昆明亭长朗然科技有限公司专注于帮助各类型的组织机构加强对员工们进行信息安全相关的教育培训,我们创作了大量的课程内容,其中包括上述信息安全三要素的电子课件、动画教程等等,欢迎有兴趣了解的客户联系我们,取得作品的预览和洽谈采购。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898

国家安全委员会与信息安全

admin

十八届三中全会报告提出我国决定设立国家安全委员会,以便“最大限度增加和谐因素,增强社会发展活力,提高社会治理水平,维护国家安全,确保人民安居乐业、社会安定有序。”这条重磅新闻是业界专家们此前对十八届三中全会的预期中所没有猜测到的,成为公报发布中的亮点,所以特别引起了海内外的广泛关注。

对国家安全委员会,简称“国安会”,网上有不少的专家解读,但是主要停留在公共安全和国家安全层面,并且也比对了美国国家安全委员会和日本国安会,比较缺乏关于互联网安全或信息安全内容。

我们相信的是国安会必将是掌管中国内外安全这个大概念的核心力量,信息安全必定是其中的部分内容,因为现代经济、政治、社会和国防越来越依赖信息化,信息安全不仅与国民生活息息相关,更关乎国家主权和领土安全。公报不可能在短短数百字中全部罗列可能的行动计划,但我们仍然可以从字里行间看到此后国家信息安全建设的总体指导方针和国家互联网安全战略的微妙变化。

如同一个小型组织机构中的信息安全委员会一样,国安会必定将由国家元首、安全战略高官、各安全相关机构如公安、国安、司法、军方、国信安、安全智囊顾问、以及各中央下属机构负责内外部安全沟通调协组织的大员们组成。国家元首是终极决策者和国家安全责任人,如同“一把手负责制”中总裁或总经理担当的角色;然后是与公共安全及国家安全相关的专业机构领导,这些就是俗称的保障国家安全的“国家机器”,他们天天干的就是安全活儿,像公司内部的首席安全官、安全总监或安全经理。为什么要中央下属机构也参与进来呢?这是因为只靠专业的安全机构和人员是无法实现国家安全宏伟目标的,国家安全虽是个大概念,但很多领域的安全变得界限模糊,并且与国民的日常工作、生活和学习都分不开。重点的中央下属机构包括金融机构、涉外部门、宣教部门等等。就比如公司信息安全委员会需要让财务部、法务部、人力资源部和对外沟通等部门人员参与进来一样。

在处理公共安全方面,公报特别指出“要改进社会治理方式,激发社会组织活力,创新有效预防和化解社会矛盾体制,健全公共安全体系。”我们可以看到的是近十年来,总体的社会安全状况有了好转,但是这个相对好的状态来源于大量的人力物力投入,造成大量资源的浪费,并且治标不治本,显然不是一种科学的安全治理方式。要激发社会组织活力,无疑需要全民参与公共安全,试想,如果民众在安全防范意识上都能赶上专业安全警员的一小半,我们的安全专业人力队伍和监控系统等技术措施可以减少多少的社会开支!“激发社会组织活力”的中央精神也适用于指导公司的信息安全治理,特别在中央整治公务人员奢侈之风的政治风口更是如此,如何激发员工们对信息安全的重视和支持呢?这需要在信息安全管理方面的创新,昆明亭长朗然科技有限公司致力于帮助各类型的组织机构强化信息安全治理中“人的因素”,以及提升员工们的信息安全认知。

我们有一部关于网络战士保卫信息安全的挑战赛,007相关的国家安全主题,可以让国民和公司职员们轻松理解信息安全基础知识和理念。欢迎联系我们在线体验它的设计和制作。