什么是信息安全？ISO27001信息安全管理體系是什么？信息安全管理的目標(biāo)與原則，如何進行ISO27001認(rèn)證？

什么是信息安全？

信息安全主要包括以下五方面的內(nèi)容，即需保證信息的保密性、真實性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性。信息安全本身包括的范圍很大，其中包括如何防范商業(yè)企業(yè)機密泄露、防范青少年對不良信息的瀏覽、個人信息的泄露等。

網(wǎng)絡(luò)環(huán)境下的信息安全體系是保證信息安全的關(guān)鍵，包括計算機安全操作系統(tǒng)、各種安全協(xié)議、安全機制（數(shù)字簽名、消息認(rèn)證、數(shù)據(jù)加密等），直至安全系統(tǒng)，如UniNAC、DLP等，只要存在安全漏洞便可以威脅全局安全。

信息安全是指信息系統(tǒng)（包括硬件、軟件、數(shù)據(jù)、人、物理環(huán)境及其基礎(chǔ)設(shè)施）受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務(wù)不中斷，最終實現(xiàn)業(yè)務(wù)連續(xù)性。

ISO27001信息安全管理體系是什么？

信息安全管理體系ISMS（Information SecurITry Management Systems）是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。它是基于業(yè)務(wù)風(fēng)險方法，來建立、實施、運行、監(jiān)視、評審、保持和改進組織的信息安全系統(tǒng)，其目的是保障組織的信息安全。該標(biāo)準(zhǔn)為開發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理做法提供公共基礎(chǔ)，并為組織之間的交往提供信任。

信息安全管理體系（ISMS）是一個系統(tǒng)化、程序化和文件化的管理體系，屬于風(fēng)險管理的范疇，體系的建立需要基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險評估。ISMS體現(xiàn)預(yù)防控制為主的思想，強調(diào)遵守國家有關(guān)信息安全的法律法規(guī)，強調(diào)全過程和動態(tài)控制，本著控制費用與風(fēng)險平衡的原則，合理選擇安全控制方式保護組織所擁有的關(guān)鍵信息資產(chǎn)，確保信息的保密性、完整性和可用性，從而保持組織的競爭優(yōu)勢和業(yè)務(wù)運作的持續(xù)性。

ISO/IEC27001是建立和維護信息安全管理體系的標(biāo)準(zhǔn)，它要求組織通過一系列的過程如確定信息安全管理體系范圍，制定信息安全方針和策略，明確管理職責(zé)，以風(fēng)險評估為基礎(chǔ)選擇控制目標(biāo)和控制措施等，使組織達到動態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預(yù)防為主的信息安全管理方式。

信息安全管理的目標(biāo)

所有的信息安全技術(shù)都是為了達到一定的安全目標(biāo)，其核心包括保密性、完整性、可用性、可控性和不可否認(rèn)性五個安全目標(biāo)。 

1、保密性(Confidentiality)是指阻止非授權(quán)的主體閱讀信息。它是信息安全一誕生就具有的特性，也是信息安全主要的研究內(nèi)容之一。更通俗地講，就是說未授權(quán)的用戶不能夠獲取敏感信息。對紙質(zhì)文檔信息，我們只需要保護好文件，不被非授權(quán)者接觸即可。而對計算機及網(wǎng)絡(luò)環(huán)境中的信息，不僅要制止非授權(quán)者對信息的閱讀。也要阻止授權(quán)者將其訪問的信息傳遞給非授權(quán)者，以致信息被泄露。 

2、完整性(Integrity)是指防止信息被未經(jīng)授權(quán)的篡改。它是保護信息保持原始的狀態(tài)，使信息保持其真實性。如果這些信息被蓄意地修改、插入、刪除等，形成虛假信息將帶來嚴(yán)重的后果。 

3、可用性(Availability)是指授權(quán)主體在需要信息時能及時得到服務(wù)的能力?？捎眯允窃谛畔踩Ｗo階段對信息安全提出的新要求，也是在網(wǎng)絡(luò)化空間中必須滿足的一項信息安全要求。 

4、可控性(Controlability)是指對信息和信息系統(tǒng)實施安全監(jiān)控管理，防止非法利用信息和信息系統(tǒng)。

5、不可否認(rèn)性(Non-repudiation)是指在網(wǎng)絡(luò)環(huán)境中，信息交換的雙方不能否認(rèn)其在交換過程中發(fā)送信息或接收信息的行為。 

信息安全的保密性、完整性和可用性主要強調(diào)對非授權(quán)主體的控制。而對授權(quán)主體的不正當(dāng)行為如何控制呢?信息安全的可控性和不可否認(rèn)性恰恰是通過對授權(quán)主體的控制，實現(xiàn)對保密性、完整性和可用性的有效補充，主要強調(diào)授權(quán)用戶只能在授權(quán)范圍內(nèi)進行合法的訪問，并對其行為進行監(jiān)督和審查。 

除了上述的信息安全五性外，還有信息安全的可審計性(Audiability)、可鑒別性(Authenticity)等。信息安全的可審計性是指信息系統(tǒng)的行為人不能否認(rèn)自己的信息處理行為。與不可否認(rèn)性的信息交換過程中行為可認(rèn)定性相比，可審計性的含義更寬泛一些。信息安全的可見鑒別性是指信息的接收者能對信息的發(fā)送者的身份進行判定。它也是一個與不可否認(rèn)性相關(guān)的概念。 

信息安全管理的原則

為了達到信息安全的目標(biāo)，各種信息安全技術(shù)的使用必須遵守一些基本的原則。

1、最小化原則。受保護的敏感信息只能在一定范圍內(nèi)被共享，履行工作職責(zé)和職能的安全主體，在法律和相關(guān)安全策略允許的前提下，為滿足工作需要。僅被授予其訪問信息的適當(dāng)權(quán)限，稱為最小化原則。敏感信息的。知情權(quán)”一定要加以限制，是在“滿足工作需要”前提下的一種限制性開放。可以將最小化原則細(xì)分為知所必須(need to know)和用所必須(need協(xié)峨)的原則。 

2、分權(quán)制衡原則。在信息系統(tǒng)中，對所有權(quán)限應(yīng)該進行適當(dāng)?shù)貏澐郑姑總€授權(quán)主體只能擁有其中的一部分權(quán)限，使他們之間相互制約、相互監(jiān)督，共同保證信息系統(tǒng)的安全。如果—個授權(quán)主體分配的權(quán)限過大，無人監(jiān)督和制約，就隱含了“濫用權(quán)力”、“一言九鼎”的安全隱患。 

3、安全隔離原則。隔離和控制是實現(xiàn)信息安全的基本方法，而隔離是進行控制的基礎(chǔ)。信息安全的一個基本策略就是將信息的主體與客體分離，按照一定的安全策略，在可控和安全的前提下實施主體對客體的訪問。 

在這些基本原則的基礎(chǔ)上，人們在生產(chǎn)實踐過程中還總結(jié)出的一些實施原則，他們是基本原則的具體體現(xiàn)和擴展。包括：整體保護原則、誰主管誰負(fù)責(zé)原則、適度保護的等級化原則、分域保護原則、動態(tài)保護原則、多級保護原則、深度保護原則和信息流向原則等。 

如何進行ISO27001認(rèn)證？

1 現(xiàn)場診斷；

2 確定信息安全管理體系的方針、目標(biāo)；

3 明確信息安全管理體系的范圍，根據(jù)組織的特性、地理位置、資產(chǎn)和技術(shù)來確定界限；

4 對管理層進行信息安全管理體系基本知識培訓(xùn)；

5 信息安全體系內(nèi)部審核員培訓(xùn)；

6 建立信息安全管理組織機構(gòu)；

7 實施信息資產(chǎn)評估和分類，識別資產(chǎn)所受到的威脅、薄弱環(huán)節(jié)和對組織的影響，并確定風(fēng)險程度；

8 根據(jù)組織的信息安全方針和需要的保證程度通過風(fēng)險評估來確定應(yīng)實施管理的風(fēng)險，確定風(fēng)險控制手段；

9 制定信息安全管理手冊和各類必要的控制程序 ；

10 制定適用性聲明；

11 制定商業(yè)可持續(xù)性發(fā)展計劃；

12 審核文件、發(fā)布實施；

13 體系運行，有效的實施選定的控制目標(biāo)和控制方式；

14 內(nèi)部審核；

15 外部第一階段認(rèn)證審核；

16 外部第二階段認(rèn)證審核；

17 頒發(fā)證書。

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機構(gòu)查詢，檢驗檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認(rèn)證、計量、校準(zhǔn)機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202101/ccaa_18264.html