信息安全的范围是非常广泛的,首先我们查看一下信息安全在ISO/IEC27001:2005信息安全管理体系的术语当中是怎么定义的。
在ISO27001:2005标准中将信息安全定义为:保护信息的保密性、完整性、可用性及其他属性,如:真实性、可核查性、可控制性、不可抵赖性可靠性、防抵赖性。
信息安全的相关属性:
保密性:保障信息仅仅为那些被授权使用的人所获取。保证信息不被非授权访问;即使非授权用户得到信息也无法知晓信息内容或不明白信息内容的含义,因而不能使用。
完整性:保护信息及其处理方法的准确性和完整性。保证数据的一致性,防止数据被非法用户篡改。一方面它指在信息使用、传输、存储的过程中不发生篡改、丢失、错误;另一方面是指信息处理方法的正确性。
可用性:保障授权使用人在需要时可以获取和使用信息。保证合法用户对信息和资源的使用不会被不正当地拒绝。
真实性:对信息的来源进行判断,能对伪造来源的信息,信息安全相关书籍予以鉴别。
不可抵赖性:建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的。
可控制性:对信息的传播及内容具有控制能力。授权机构对信息的内容及传播具有控制能力,可以控制授权范围内的信息流向及其方法。
可审查性:对出现的网络安全问题提供调查的依据和手段。在信息交流过程结束后,通过双方不能抵赖曾经做出的行为,也不能否认曾经接受到对方的信息。
信息安全事件(Event)的定义:信息安全事件是指识别出的发生的系统、服务或网络事件表明可能违反信息安全策略或防护措施失效;或以前未知的与安全相关的情况。
信息安全事故(Incident)的定义:信息安全事故是指一个或系列非期望的或非预期的信息安全事件,这些信息安全事件可能对业务运营造成严重影响或威胁信息安全。
信息安全的重要性</strong>:信息安全是任何一个国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战略问题。但是,对于不同的部门和行业来说,其对信息安全的要求和重点却是有区别的。 对于政府、金融、电信和科研机构信息安全尤为重要。
信息作为一种资产,是企业或组织进行正常商务运作和管理不可或缺的资源。从最高层次来讲,信息安全关系到国家的安全;对组织机构来说,信息安全关系到正常运作和持续发展;就个人而言,信息安全是保护个人隐私和财产的必然要求。无论是个人、组织还是国家,保持关键的信息资产的安全性都是非常重要的。信息安全的任务,就是要采取措施(技术手段及有效管理)让这些信息资产免遭威胁,或者将威胁带来的后果降到最低程度,以此维护组织的正常运作。
根据国际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。其根本目的就是使内部信息不受外部威胁,因此信息通常要加密。为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有非法操作。实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。
信息安全是一个广泛而抽象的概念,不同领域不同方面对其概念的阐述都会有所不同。建立在网络基础之上的现代信息系统,其安全定义较为明确,那就是:保护信 息系统的硬件、软件及相关数据,使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行。在商业和经济领域,信息安 全主要强调的是消减并控制风险,保持业务操作的连续性,并将风险造成的损失和影响降低到最低程度。
总的来说,凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论,都是信息安全所要研究的范畴,也是信息安全所要实现的目标。
随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面 的消极影响。一方面:信息化在中小企业的发展过程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面,伴随着全球信息化和网络化进程的发 展,与此相关的信息安全问题也日趋严重。
由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中小企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经刻不容缓。
通过制定和实施企业ISO27001信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系协同工作的高效、有序和经济性。ISO27001信息安全管理体系不仅可以在信息安全事故发生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重要的是ISO27001信息安全管理体系能够预防和避免大多数的信息安全事件的发生。
信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由于新的威胁不断出 现,信息安全管理是一个相对的、动态的过程,企业能做到的就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的范围之内,获得企业现有条 件下和资源能力范围内最大程度的安全。
在信息安全管理领域,三分技术,七分 管理的理念已经被广泛接受。通过阅读文献可以发现,早期的信息安全研究主要集中在信息安全技术方面,20世纪90年代前后,信息安全在管理方面的研究才 开始受到重视并逐渐发展起来。本文的研究目的是针对当前我国中小企业在信息安全实践中面临的问题,通过研究国内外的信息安全管理理论和实践,结合 ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安 全管理能力。
转载请注明原文网址:http://www.zhongjiyuan.com.cn/isorz/iso27001/2016/0529/115.html