壹、什麽是信息及信息安全
信息像其他重要的商務資產壹樣,也是壹種資產,對壹個組織而言具有價值,因而需要被妥善保護。信息安全使信息避免壹系列威脅,保障了組織商務的連續性,最大限度地減小組織的商務損失,順利獲取投資和商務回報。信息可以以多種形式存在。它可以是打印或寫在紙上(如:書面的財務報表等);電子形式存貯(如:壹個組織ERP系統的備份磁帶);通過郵件或用電子手段傳輸;顯示在膠片上;表達在會話中。不論信息采用什麽方式或采取什麽手段***享和存貯,因為它有價值,應該得到妥善的保護。
二、信息安全主要體現在以下三個方面:
? 1、保密性。保密性是指確保信息資料,特別是重要的信息資料,不流失,不被非本部門人員非法盜用。比如銀行的儲戶信息,醫院的病人就醫資料,政府機關、安全部門的機密文件,企業的客戶資料、商務信息、專利、專有技術資料等等,應該給誰看,不應該給誰看,什麽級別/部門的人員可以看什麽密別的信息資料,如何儲存保管,都應制定具體的措施、規範,以防止因信息流失而造成不良影響和重大經濟損失。
2、完整性。所謂信息資料的完整性,是指信息資料不丟失、不少缺。比如采取壹定的措施防止存貯在電腦中的磁盤文件不因操作不當或病毒的侵襲而導致文件的殘缺或丟失。再如防止存貯的打印文件因黴變、蟲蛀而殘缺、損壞,防止水災、火災而毀損文件和資料等。
3、可用性。可用性是指當需要某壹信息資料時,可馬上拿得到。比如采取壹定的措施,防止因某壹資料員不在場或其它例外情況下,因為拿不到所需的資料而導致停工或錯失商機等。
ISO
27001標準把信息資料看作是公司的資產,其對公司的生存與發展起著關鍵作用,尤其是在知識經濟和電子信息時代,確保信息安全更是非常有必要的。英國曾做過壹項統計,80%的信息資料的損失是與人為因素有關的。所以防止人為因素造成的信息風險被作為信息安全的主要控制對象。
信息安全是通過執行壹套適當的控制來達到的。可以是方針、慣例、程序、組織結構和軟件功能來實現,這些控制方式需要確定,才能保障組織特定的安全目標的實現。
三、信息安全的重要性信息及其支持過程的系統和網絡都是組織的重要資產。信息的機密性、完整性和可用性對保持壹個組織的競爭優勢、資金流動、效益、法律符合性和商務形象都是至關重要的。
任何組織及其信息系統(如壹個組織的ERP系統)和網絡都可能面臨著包括計算機輔助欺詐、刺探、陰謀破壞行為、火災、水災等大範圍的安全威脅。隨著計算機的日益發展和普及,計算機病毒、計算機、服務器的非法入侵破壞已變得日益普遍和錯綜復雜。
目前壹些組織,特別是壹些較大型公司的業務已經完全依賴信息系統進行生產業務管理,這意味著組織更易受到安全威脅的破壞。組織內網絡的互連及信息資源的***享增大了實現訪問控制的難度。
有些組織的信息系統盡管在設計時可能已考慮了安全,但僅僅依靠技術手段實現安全仍然是有限的,還應當通過管理和程序來支持。
四、建立信息安全管理體系對任何組織都具有重要意義
任何組織,不論它在信息技術方面如何努力以及采納如何新的信息安全技術,實際上在信息安全管理方面都還存在漏洞,例如:
1. 缺少信息安全管理論壇,安全導向不明確,管理支持不明顯;
2. 缺少跨部門的信息安全協調機制;
3. 保護特定資產以及完成特定安全過程的職責還不明確;
4. 雇員信息安全意識薄弱,缺少防範意識,外來人員很容易直接進入生產和工作場所;
5. 組織信息系統管理制度不夠健全;
6. 組織信息系統主機房安全存在隱患,如:防火設施存在問題,與危險品倉庫同處壹幢辦公樓等;
7. 組織信息系統備份設備仍有欠缺;
8. 組織信息系統安全防範技術投入欠缺;
9. 軟件知識產權保護欠缺;
? 10. 計算機房、辦公場所等物理防範措施欠缺;
? 11. 檔案、記錄等缺少可靠貯存場所;
? 12. 缺少壹旦發生意外時的保證生產經營連續性的措施和計劃;…….等等
通過以上信息管理方面的漏洞以及經常見諸報端的種種信息安全事件表明,任何組織都急需建立信息安全管理體系,以保障其技術和商業機密,保障信息的完整性和可用性,最終保持其生產、經營活動的連續性。
五、建立信息安全管理體系的意義
組織可以參照信息安全管理模型,按照先進的信息安全管理標準建立組織完整的信息安全管理體系並實施與保持,達到動態的、系統的、全員參與、制度化的、以預防為主的信息安全管理方式,用最低的成本,使信息風險的發生概率和結果降低到可接受水平,並采取措施保證業務不會因風險的發生而中斷。組織建立、實施與保持信息安全管理體系將會:
1、 強化員工的信息安全意識,規範組織信息安全行為;
2、對組織的關鍵信息資產進行全面系統的保護,維持競爭優勢;
3、在信息系統受到侵襲時,確保業務持續開展並將損失降到最低程度;
? 4、使組織的生意夥伴和客戶對組織充滿信心。?