|
ISO/IEC日前對其聯(lián)合制定的一項標準進行了修訂��,該標準作為信息安全管理的國際基準服務(wù)于成長階段的電子商務(wù)團體�����。
修訂版ISO/IEC 17799�,信息技術(shù)—保密安全技術(shù)—信息保密安全管理慣例法規(guī),吸納了業(yè)界的最新發(fā)展成果���,使之仍可作為國際標準慣例法規(guī)��。
現(xiàn)代互聯(lián)電子商務(wù)環(huán)境是該標準的主要受益者��,其信息正受到日益猖狂且花樣繁多的威脅和攻擊�。
ISO/IEC 17799:2005標準編制組組長泰德漢姆弗雷如此評論該修訂標準:“該修訂版標準為各組織提供許多以前沒有的,經(jīng)改進的信息保密安全最佳慣例����。例如,更好地管理外部業(yè)務(wù)�、外部采辦和服務(wù)提供商的保密安全事務(wù);增強事件處理能力���;處理 patch 管理���、移動設(shè)備���、無線技術(shù)和通過互聯(lián)網(wǎng)傳播的有害手機代碼等問題��;改進了人力資源管理最佳慣例以及其它幾個新亮點���。”
ISO/IEC 17799:2005是信息安全管理的慣例法規(guī)�,而非認證標準�,其設(shè)計初衷不為認證��,因而也不適用于認證���。今年第四季度將發(fā)布的 ISO/IEC 27001 (有望于2005年11月發(fā)布)����,“信息保密安全管理系統(tǒng)要求”可用于認證���。
新版標準強調(diào)盡最大可能保證信息的安全�,提供商務(wù)最佳慣例���、指南以及在任何組織實施�����、維護����、管理信息安全���,以任何形式生產(chǎn)和使用信息的一般原則���。
任何組織都有資產(chǎn)��,而信息的各種存在形式是組織最為重要的資產(chǎn)��,這些形式可以是打印的����,以電子形式存儲的�����,普通信件郵寄的或電子郵寄的����,以視頻為載體的或講話中提到的。對于多數(shù)商務(wù)組織��,信息安全是維持競爭優(yōu)勢�����、現(xiàn)金流���、利益率��、法律條文以及商業(yè)圖表等的基礎(chǔ)�����。但對于許多商務(wù)和大多數(shù)非商務(wù)組織來說���,信息可能是其唯一資產(chǎn),缺乏信息安全保障可能威脅到組織完整性�,甚至事關(guān)存亡。
ISO/IEC 17799:2005認識到純粹以技術(shù)手段實現(xiàn)保密安全是極為有限的���。所需安全級別的評定須依賴合適的管理控制和程序�,通過評估風(fēng)險級別及相應(yīng)的突破安全所需費用來決定安全保密的實施費用�。信息安全保密管理需要組織的所有員工的參與,有時還需股東�����、供應(yīng)商���、第三方和客戶的參與�����。
ISO/IEC 17799:2005確定信息保密安全控制要抓源頭�����。它包括了關(guān)鍵的成功要素��,信息保密安全工作的組織�����,資產(chǎn)管理��,人力資源��,物理和環(huán)境保密安全����,通信和操作管理,信息系統(tǒng)采辦����,研制和維護,突發(fā)事件管理���,業(yè)務(wù)持續(xù)管理和 守則 �。該標準將成為不同類型和規(guī)模的組織(無論是公營還是民營)的基本工具��。
泰德漢姆弗雷說:“標準的使用者還可向業(yè)務(wù)伙伴��、客戶和供應(yīng)商展示其信息的安全保密性��,從而將其在信息保密安全方面的投資轉(zhuǎn)化為商業(yè)機會�。”
“簡而言之�����,修訂版ISO/IEC 17799是目前已制定的信息保密安全管理方面最重要的標準��,它建立了一個真正的國際上通用信息保密安全語言�����,使世界上任何組織都能相互開展業(yè)務(wù)����!
|