本书第一部分已经介绍过ISO20000中信息安全管理的目标为“在所有服务活动中有效地管理信息安全”。信息安全也可定义为“言息系统的硬件、软件及其系

统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断”。

当前信息安全的威胁已经从令人烦恼的简单的病毒变为能对整个企业造成重大破坏的混合威胁。据统计,目前安全事故给各个公司造成的损失达到几十亿美元。

对于大多数高级企业主管而言,安全问题不再遥不可及了,而是已经在自己身旁发生。安全漏洞会大大降低公司的市场价值,荏至威胁企业的生存。即使最小的漏洞也能将公司的名誉、客户的隐私信息和知识产权置于危险之中。从某种程度上说,安全的信息系统是现代企业赖以生存的基础,是企业的业务驱动,而不仅仅是信息技术的发展。

信息安全管理是对已定义安全级别的信息和服务的管理过程。信息安全管理的职责就是通过适当的措施减少发生不可接受程度的服务失败的概率,信息安全是相对的,只要在可接受的范围内,就认为是安全的。

信息安全框架主要由以下方面构成:

信息安全管理体系通常由标准、流程和指南组成。

完整的安全策略应与业务战略、目标和计划保持一致。

有效的安全组织管理架构。

管理内、外部相关的资源(设备、人员、系统、网络)执行信息安全政策。

确保流程的执行符合信息安全策略和标准的要求。

确保合同(供应商、商业合作伙伴、人员)中包含信息安全的控制能够达成致并有效落实。

确保系统开发和获取环节中的安全因素被考虑并落实。在组织中提供信息安全建议和指导(比如:

风险分析、控制选择)。

信息安全意识、培训和教育。

监控、测量、测试和报告信息安全政策的执行效率和效益。

确保不符合项被及时的发现并解决。

信息安全框架或信息安全管理体系为开发兼顾成本与效益的信息安全流程提供了基础,以便支持商业目标,它涉及人员、过程、产品和技术四个方面,通过与合

作伙伴或供应商的共同努力,提供适当级别的安全服务。在建立信息安全管理体系时候,我们可以借鉴参考ISO27001管理体系的要求。