【咨詢內容介紹】組織信息安全管理體系建設的必要性
"信息"作為一種商業資產,其重要性也是與日俱增。信息安全,按照國際標準化組織提出的ISO/IEC 27000中的概念,需要保證信息的保密性、完整性和可用性。
時至今日,"信息"作為一種商業資產,其所擁有的價值對于一個組織而言毋庸置疑,重要性也是與日俱增。信息安全,按照國際標準化組織提出的ISO/IEC 27000中的概念,需要保證信息的"保密性"、"完整性"和"可用性"。通俗地講,就是要保護信息免受來自各方面的威脅,從而確保一個組織或機構可持續發展。
組織面臨的問題
組織對于信息系統依賴性不斷增長,以及在信息系統上運作業務的風險,使得信息安全越來越得到重視。
然而事實上,目前組織所面對的信息安全狀況愈加復雜。病毒木馬、非法入侵、數據泄密、服務癱瘓、漏洞攻擊等安全事件時有發生。從便攜設備到可移動存儲,再到智能手機、PDA,以及無線網絡等,安全問題出現的途徑也是千奇百怪。每一項新技術,每一類新產品的推廣伴隨著新的問題。組織在面臨著日趨復雜的威脅的同時,遭受的攻擊次數也日益增多。
正因為如此,信息安全管理體系標準(ISO/IEC27000)的出現成為歷史必要,該標準經過十多年的發展,已經形成了一個完整規范的體系。對組織而言,建立信息安全管理體系,是一個非常系統的過程,從資產評估、風險分析、引入控制到后期的改進,呈現出一個非常邏輯的架構。
通過對大型組織CIO的調查顯示,他們普遍面對的問題是,"我們很清楚的知道內部的安全風險問題,可是我們不知道怎么去識別并規避風險。因此我們迫切希望引入信息安全管理體系,甚至于去獲得認證。"
可以說,信息安全管理體系的建立和健全,目的就是降低信息風險對經營帶來的危害,并將其投資和商業利益最大化。
更新時間:2016/10/10 17:47:13
