一、ISMS實施背景

1.1 背景簡介

隨著信息技術的高速發(fā)展，特別是Internet的問世及網上交易的啟用，許多信息安全的問題也紛紛出現(xiàn)：系統(tǒng)癱瘓、黑客入侵、病毒感染、網絡釣魚、網頁改寫、客戶資料的流失及公司內部資料的泄露等等。ISO/IEC27001:2013正為我們建立這樣一個管理體系提供有力的幫助，它可以幫助組織識別、管理和減少信息所面臨的各種風險，保障組織的信息安全。

1.2 為什么要實施基于ISO27001標準的IT服務管理

隨著在世界范圍內，信息化水平的不斷發(fā)展，信息安全逐漸成為人們關注的焦點，世界范圍內的各個機構、組織、個人都在探尋如何保障信息安全的問題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關信息安全的本國標準，國際標準化組織(ISO)也發(fā)布了ISO17799、ISO13335、ISO15408等與信息安全相關的國際標準及技術報告。目前，在信息安全管理方面，英國標準ISO27001:2005已經成為世界上應用最廣泛與典型的信息安全管理標準，它是在BSI/DISC的BDD/2信息安全管理委員會指導下制定完成，最新版本為：ISO27001:2013。

一、信息安全的基本知識

信息安全:

是采取措施保護信息資產，使之不得因偶然或惡意侵犯而遭到破壞、更改、泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運行，使安全事件對業(yè)務造成的影響減到最小，確保組織業(yè)務運行的連續(xù)性。

什么是信息：

對公司具有重要價值，可以通過多媒體傳遞和存儲的一種資產。

哪些是信息：

傳輸網絡的組網圖；招投標的目標區(qū)域和標底；

電子郵件的內容；基站的經緯度和位置；

設備的配置容量、板位圖等內容；

公司員工的通訊錄（電話、身份證號碼、認證產品）；

節(jié)假日的放假通知。

二、信息安全的核心

    信息安全的核心就是數據：要保障沒有被破壞過的、原始的數據能夠及時地、安全地在它的合法擁有者和使用者之間傳遞或存儲，而不能被不該獲得它們的人得到或更改。信息安全的工作就是要保障這些數據不被合法擁有和使用者以外的人竊取、篡改或破壞，同時保障這些數據不會由于操作失誤、機器故障、天災人禍等被破壞。

三、信息安全管理體系標準（ISO27001)

   信息安全管理體系標準（ISO27001)：可有效保護信息資源，保護信息化進程健康、有序、可持續(xù)發(fā)展。ISO27001是信息安全領域的管理體系標準，類似于質量管理體系認證的 ISO9000標準。當公司通過了ISO27001的認證，就相當于通過ISO9000的質量認證一般，表示公司信息安全管理已建立了一套科學有效的管理體系作為保障。

根據 ISO27001 對信息安全管理體系進行認證，可以帶來以下幾個好處：

▲ 引入信息安全管理體系，可以協(xié)調各個方面信息的管理，從而使管理更為有效，保證信息安全不是僅有一個防火墻，它需要全面的綜合管理。

▲ 通過進行ISO27001信息安全管理體系認證，可以增進公司間電子商務往來的信用度，能夠建立起和客戶之間的互相信任。

▲ 通過認證能保證和證明公司所有的部門對信息安全的承諾。

▲ 通過認證可消除不信任感。

四、信息安全相關資產的概念

   資產是指對組織有價值且與信息相關的資產

   信息資產：通常包括各種電子或實物形式存在的數據、文檔、文件等、知識產權、商標等無形資產。為了確保公司信息資產的安全性，公司信息類資產密級劃分為：公開信息、受控信息、企業(yè)秘密三級，使用過程中依據不同的密級進行相應的審批及使用。

   軟件資產：各種系統(tǒng)軟件、應用軟件、工具軟件、開發(fā)軟件等，這些軟件資產對各類信息進行處理、存儲或傳輸。

   硬件資產：與業(yè)務相關的IT物理設備。如產生數據類的服務器、筆記本電腦、PC機、打印機、復印機等、通訊傳輸設備（路由器、防火墻等）、記錄存儲媒體（U盤、光盤、移動硬盤等）及輔助設備。

  人員資產：承擔某項與業(yè)務活動相關責任的角色和職位。

五、信息安全的三要素（CIA）

   信息的機密性(C)：具有一定保密程度的信息只能讓有權讀到或更改的人讀到和更改。不過，這里提到的保密信息，有比較廣泛的外延：它可以是國家機密，是一個企業(yè)或研究機構的核心知識產權，是一個銀行個人賬號的用戶信息，或簡單到你建立微信、QQ時輸入的個人信息。因此，信息保密的問題是每一個使用網絡的人都要面對的。

   信息的完整性(I)：是指在存儲或傳輸信息的過程中，原始的信息不能允許被隨意更改。這種更改有可能是無意的錯誤，如輸入錯誤，軟件瑕疵，到有意的人為更改和破壞。在設計數據庫以及其他信息存儲和傳輸應用軟件時，要考慮對信息完整性的校驗和保障。

   信息的可用性(A)：對于信息的合法擁有和使用者，在他們需要這些信息的任何時候，都應該保障他們能夠及時得到所需要的信息。

 六、 信息安全的防護重點

信息安全威脅分類

針對威脅來源，根據其表現(xiàn)形式將威脅分為：

軟硬件故障、物理環(huán)境影響、無作為或操作失誤、管理不到位、惡意代碼和病毒、越權或濫用、網絡攻擊、泄密、篡改、抵賴。

五大防護重點

信息防泄漏；內容防篡改；內部防越權；系統(tǒng)防入侵；網絡防攻擊。