本书是我国信息安全管理领域的重要专著,为我国各类组织管理信息安全风险提供了最佳实践。它从标准释疑、实施和案例分析三方面入手,全面阐述了信息安全管理体系的全生命周期。文中全面介绍了ISO/IEC 17799(DS7799)这一全球公认的信息安全管理标准的产生、发展历程及其主要内容;深入阐述了实施信息安全管理的方法、步骤及应用软件;并首次批露我国企业实施BS7799的经验和教训;同时,“BS7799实施案例”重点从客户、咨询公司、厂商三个方面介绍了四个典型案例。 本书不仅适用于CEO、CIO、IT战备规划主管、CSO、政府和企业管理人员、IT咨询顾问,而且也是信息系统审计师和信息安全管理体系审核员的必备参考佳作,更可作为高等院核校从事信息安全管理教学研究的师生的参考文献。
随着中国加入了世贸组织,为了能在国际的市场上保持竞争,本土的企业和公司必须与国际的商业活动相接轨。陈旧的政策和技术可能不再会被接受或实际运用。另外,新技术和全球网络系统已在改变着在中国和世界范围的商业经营和运转方向。在以电子商务为代表的新技术开拓了新机会的同时,也给公司带来了新的风险和威胁。这些威胁不但有来自组织外部的 ,而且还来自组织内部的。
公司必须注意一些普遍存在的问题,包括:
1.提高意识和加强理论知识
许多IT人员,员工和管理层没有足够的安全知识,并且没有意识到所有可能存在的威胁。大部分人认为,只要有了防病毒软件和防火墙,他们的公司就是安全的。
电脑病毒和黑客都是公司每天要面对的潜在威胁的一部分。但被对公司存在不满的员工未经授权入侵公司敏感资料和文件,会造成商业秘密泄露,损坏公司声誉。公司也因此会被希望能通过本公司为他们的资料提供安全防护措施的客户和合作伙伴起诉。
确保IT人员意识到普遍存在的安全威胁是很重要的。使公司政策系统化,让员工们去遵循,去协助公司最小程度地减少IT安全泄露的风险。
2.来自最高管理层的支持
即使一个公司的IT人员意识到安全威胁,但他可能极少获得最高管理层的支持。因为安全纯粹是一项消费开支,是不能马上产生实际可见的效益的。这样,IT安全的理念可能就很难让最高管理层理解并接受,他们只把注意力集中在增加收入和降低成本来产生利润。
政策的成功执行,必须有最高管理层的全力支持。IT人员必须从给最高管理层的可以有效执行的安全计划书中显示出自己具有的潜能。
3.采用标准(如BS7799)
采用行业标准,如BS7799,第一步应该建立一个公司的IT安全体系。这种标准为公司指明遵循的方向,达到产业希望的安全标准。
一旦政策方针颁布实施,管理层就必须确保员工行为与政策方针的一致性。他们因此也必须不断地检查和适时地调整政策方针。
《信息安全管理:全球最佳实务与实施指南》这本书很好地解决了上面的几个问题,该书内容广泛,循序渐进地介
绍了信息安全管理体系的全生命周期,同时,给出的案例具有很好的参考作用,我衷心地希望此书能成为信息安全经理
的案头手册,并为所在企业的信息安全管理建制、认证提供帮助。
广州市加安信息技术有限公司 董事长
姚兴国
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved