商業(yè)風險管理--信息安全管理體系BS7799[現(xiàn)代企業(yè)對信息的依賴越來越大,沒有各種信息的支持,企業(yè)就不能發(fā)展。事實 上,信息已成為現(xiàn)代企業(yè)的一種重要資產(chǎn),成為企業(yè)成功的關(guān)鍵所在。這種資產(chǎn),更需要加以妥善保護。否則,可能由于人 員的原因(疏忽、跳槽、破壞)、競爭對手原因(商業(yè)間諜、收買、盜竊、網(wǎng)絡(luò)攻擊)和自然災(zāi)害(火災(zāi)、水災(zāi)、地震)等 原因,在一瞬間被毀滅、消失、損壞、盜竊、貶值、轉(zhuǎn)移,給企業(yè)帶來致命的打擊。
什么是信息
信息: 不僅僅是計算機、網(wǎng)絡(luò)相關(guān)的數(shù)據(jù)、資料, 也包括: 專利 商業(yè)檔案
文件 標準 專有技術(shù) 客戶資料 統(tǒng)計數(shù)據(jù) 圖樣 配方 報價 規(guī)章制度
財務(wù)數(shù)據(jù) 工藝 計劃 資源配置 管理體系
如何保護您的信息安全,使商業(yè)風險降低到可接受的水平?
發(fā)達國家經(jīng)過多年的研究, 已形成完善的信息安全管理方法,并用可以普遍采用的標準形式表達出來,即: BS7799 --信息安全管理體系(ISO/IEC 17799).
對信息進行風險管理的目的?
使信息風險的發(fā)生概率和結(jié)果降低到可接受收水平,并采取措施保證業(yè)務(wù)不會因風險的發(fā)生而中斷。
◆BS 7799 的信息管理過程
◆確定信息安全管理方針
◆確定ISMS(信息安全管理體系)的范圍
◆進行風險分析
◆選擇控制目標并進行控制
◆建立業(yè)務(wù)持續(xù)計劃
◆建立并實施安全管理體系
|
