首页| 内容| 正文

ISO/IEC 20000 企业认证

ITSS运维通用要求企业认证

随着信息技术的不断发展和企业信息化程度的不断提高,企业竞争越来越依赖于信息能力,信息已成为企业保持竞争力和业务持续运营的重要资产,必须得到妥善的保护。然而,随着信息技术的高速发展,许多信息安全的问题也纷纷涌现:系统瘫痪、病毒感染、黑客入侵、信息失真、数据丢失、客户资料的流失及公司内部资料的泄露等等,这些都将给企业带来严重的影响,可以说信息安全问题所带来的损失远大于交易的账面损失。


据权威统计结果表明,企业信息受到的损失中,60%是由于内部员工的疏忽或者有意泄密造成的;而导致信息安全事件的原因中80%是管理方面的原因。所以,信息安全不仅仅是一个技术问题,在很大程度上已经表现为管理的问题,能不能对网络和企业实现有效的管理与控制是信息安全的根本问题之一。但是长久以来,信息安全却一直被人们视为单纯的技术问题, 归于信息技术部门的独立处理,所以,企业迫切需要一套符合国际标准的信息安全管理体系来保障企业信息的安全。


我们借鉴 ISO/IEC27001 标准基于风险管理的思想,建立一套系统化、程序化和文件化的信息安全管理体系。该体系以预防控制为主要思想,强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式保护空管局所拥有的关键信息资产,使信息风险的发生概率和结果降低到可接受水平,确保信息的保密性、完整性和可用性,保持空管局业务运作的持续性。ISMS具体构建步骤包括:确定ISMS适用范围、制定 ISMS 相关文件、风险评估和制定信息安全控制措施。







Date:   View:120 相关网址返回列表
  • ISO/IEC 27001 企业认证
0 0