其實,組織可以參照信息安全管理模型,按照先進的信息安全管理標準 BS7799 ������標準建立組織完整的信息安全管理體系并實施與保持,達到動態的、系統的、全員參與、制度化的、以預防為主的信息安全管理方式,用較低的成本,達到可接受的信息安全水平,就可以從根本上保證業務的連續性。組織建立、實施與保持信息安全管理體系將會產生如下作用:
· 強化員工的信息安全意識,規范組織信息安全行為;
· 對組織的關鍵信息資產進行quan全面系統的保護,維持競爭優勢;
· 在信息系統受到侵襲時,確保業務持續開展并將損失降到較低程度;
· 使組織的生意伙伴和客戶對組織充滿信心;
· �����如果通過體系認證,表明體系符合標準,證明組織有能力保障重要信息,提高組織的有名度與信任度;
· 促使管理層堅持貫徹信息安全保障體系。
BS7799標準概述:
· 1995 �����年,英國貿工部根據英國國內企業對信息安全日益高漲的呼聲,組織大企業的信息安全經理們,制定了世界上第一個信息安全管理體系標準 BS7799-1 : 1995 �������《信息安全管理實施規則》,作為工商業和大、中、小型組織實施信息安全管理的指南。由于該標準采用建議和指導方式編寫,因而不宜作為認證標準使用。
· 1998 年,為了適應第三方認證的需要,英國又制定了第一個信息安全管理體系認證標準 --BS7799-2 : 1998 �����《信息安全管理體系規范》,作為對一個組織的quan面或部分信息安全管理體系進行評審認證的依據標準。
· 1999 �������年,鑒于計算機和信息處理技術,尤其是網絡和通信領域應用的迅速發展,英國又對信息安全管理體系標準進行了修訂。修訂后的 BS7799-1 : 1999 和 BS7799-2 : 1999 分別取代了 BS7799-1 : 1995 和 BS7799-2 : 1998 。新修訂的 1999 版標準進一步強調了組織在商務工作中所涉及的信息安全和信息安全責任。 BS7799-1 : 1999 和 BS7799-2 : 1999 是一對配套標準, BS7799-1 : 1999 為如何建立和實施符合 BS7799-2 : 1999 標準要求的信息安全管理體系提供了較佳的應用建議。
· 2000 年 12 月, BS7799-1 : 1999 已經被 ISO/IEC 正式采納成為國際標準 -- ISO/IEC 17799 : 2000 《信息技術—信息安全管理實施規則》,另外, BS7799-2 : 1999 也即將于 2002 年底被 ISO/IEC 作為藍本修訂后成為可用于認證的 ISO/IEC 的《信息安全管理體系規范》。
信息安全認證是實現信息安全目標的較佳途徑:
