一、ISMS实施背景

1.1 背景简介

随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网络钓鱼、网页改写、客户资料的流失及公司内部资料的泄露等等。ISO/IEC27001:2013正为我们建立这样一个管理体系提供有力的帮助，它可以帮助组织识别、管理和减少信息所面临的各种风险，保障组织的信息安全。

1.2 为什么要实施基于ISO27001标准的IT服务管理

随着在世界范围内，信息化水平的不断发展，信息安全逐渐成为人们关注的焦点，世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准，国际标准化组织(ISO)也发布了ISO17799、ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。目前，在信息安全管理方面，英国标准ISO27001:2005已经成为世界上应用最广泛与典型的信息安全管理标准，它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成，最新版本为：ISO27001:2013。

一、信息安全的基本知识

信息安全:

是采取措施保护信息资产，使之不得因偶然或恶意侵犯而遭到破坏、更改、泄露，保证信息系统能够连续、可靠、正常的运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。

什么是信息：

对公司具有重要价值，可以通过多媒体传递和存储的一种资产。

哪些是信息：

传输网络的组网图；招投标的目标区域和标底；

电子邮件的内容；基站的经纬度和位置；

设备的配置容量、板位图等内容；

公司员工的通讯录（电话、身份证号码、认证产品）；

节假日的放假通知。

二、信息安全的核心

    信息安全的核心就是数据：要保障没有被破坏过的、原始的数据能够及时地、安全地在它的合法拥有者和使用者之间传递或存储，而不能被不该获得它们的人得到或更改。信息安全的工作就是要保障这些数据不被合法拥有和使用者以外的人窃取、篡改或破坏，同时保障这些数据不会由于操作失误、机器故障、天灾人祸等被破坏。

三、信息安全管理体系标准（ISO27001)

   信息安全管理体系标准（ISO27001)：可有效保护信息资源，保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准，类似于质量管理体系认证的 ISO9000标准。当公司通过了ISO27001的认证，就相当于通过ISO9000的质量认证一般，表示公司信息安全管理已建立了一套科学有效的管理体系作为保障。

根据 ISO27001 对信息安全管理体系进行认证，可以带来以下几个好处：

▲ 引入信息安全管理体系，可以协调各个方面信息的管理，从而使管理更为有效，保证信息安全不是仅有一个防火墙，它需要全面的综合管理。

▲ 通过进行ISO27001信息安全管理体系认证，可以增进公司间电子商务往来的信用度，能够建立起和客户之间的互相信任。

▲ 通过认证能保证和证明公司所有的部门对信息安全的承诺。

▲ 通过认证可消除不信任感。

四、信息安全相关资产的概念

   资产是指对组织有价值且与信息相关的资产

   信息资产：通常包括各种电子或实物形式存在的数据、文档、文件等、知识产权、商标等无形资产。为了确保公司信息资产的安全性，公司信息类资产密级划分为：公开信息、受控信息、企业秘密三级，使用过程中依据不同的密级进行相应的审批及使用。

   软件资产：各种系统软件、应用软件、工具软件、开发软件等，这些软件资产对各类信息进行处理、存储或传输。

   硬件资产：与业务相关的IT物理设备。如产生数据类的服务器、笔记本电脑、PC机、打印机、复印机等、通讯传输设备（路由器、防火墙等）、记录存储媒体（U盘、光盘、移动硬盘等）及辅助设备。

  人员资产：承担某项与业务活动相关责任的角色和职位。

五、信息安全的三要素（CIA）

   信息的机密性(C)：具有一定保密程度的信息只能让有权读到或更改的人读到和更改。不过，这里提到的保密信息，有比较广泛的外延：它可以是国家机密，是一个企业或研究机构的核心知识产权，是一个银行个人账号的用户信息，或简单到你建立微信、QQ时输入的个人信息。因此，信息保密的问题是每一个使用网络的人都要面对的。

   信息的完整性(I)：是指在存储或传输信息的过程中，原始的信息不能允许被随意更改。这种更改有可能是无意的错误，如输入错误，软件瑕疵，到有意的人为更改和破坏。在设计数据库以及其他信息存储和传输应用软件时，要考虑对信息完整性的校验和保障。

   信息的可用性(A)：对于信息的合法拥有和使用者，在他们需要这些信息的任何时候，都应该保障他们能够及时得到所需要的信息。

 六、 信息安全的防护重点

信息安全威胁分类

针对威胁来源，根据其表现形式将威胁分为：

软硬件故障、物理环境影响、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、网络攻击、泄密、篡改、抵赖。

五大防护重点

信息防泄漏；内容防篡改；内部防越权；系统防入侵；网络防攻击。