【我要印】訊：對(duì)一個(gè)企業(yè)或?qū)嶓w而言，信息是具有重要價(jià)值并且可以通過多種媒體傳遞和存在的一種資源,。當(dāng)今社會(huì)無疑已發(fā)展成一個(gè)信息社會(huì)收購,，我們會(huì)因?yàn)樾畔⒌陌l(fā)達(dá)更快更準(zhǔn)確地做出決策，而企業(yè)的很多有用信息也會(huì)很快成為競爭對(duì)手利用的資源,，甚至還可能對(duì)企業(yè)自身產(chǎn)生威脅,。同時(shí)，隨著企業(yè)以計(jì)算機(jī)為主體的信息化建設(shè)的推進(jìn),，企業(yè)對(duì)信息管理體系的依賴性非常大廠商信息,，而信息化體系本身的安全性卻受到來自多方面的影響和威脅，因此,，企業(yè)有價(jià)值的信息已成為一種不容忽視的資產(chǎn)，應(yīng)當(dāng)對(duì)它的安全狀態(tài)進(jìn)行有效管理,。

　　伴隨著市場競爭的日益激烈,，印刷企業(yè)紛紛借助國際標(biāo)準(zhǔn)完善管理，同時(shí)借此順利邁過招標(biāo)項(xiàng)目的門檻,。據(jù)不完全統(tǒng)計(jì)報(bào)紙印刷,，超過半數(shù)的大型印刷企業(yè)通過了ISO9001質(zhì)量管理體系認(rèn)證，還有很多企業(yè)通過了ISO14001環(huán)境管理體系認(rèn)證和OHSAS18000職業(yè)健康安全管理體系認(rèn)證,。而在信息安全管理方面,，隨著近年來相關(guān)標(biāo)準(zhǔn)迅速被全球所認(rèn)可和接受，印刷企業(yè)也找到了一個(gè)解決信息安全風(fēng)險(xiǎn)難題的有效方法,。

　　ISO/IEC27001信息安全管理體系的有關(guān)要求

　　ISO/IEC27001系列標(biāo)準(zhǔn)包含下列標(biāo)準(zhǔn)：ISO/IEC27001（信息技術(shù) 安全技術(shù) 信息安全管理體系-要求）,，ISO/IEC27002（信息技術(shù) 安全技術(shù) 信息安全管理實(shí)用規(guī)則）印后設(shè)備，ISO/IEC27003（信息安全管理體系實(shí)施指南）,，ISO/IEC27004（信息安全管理-測量）,，ISO/IEC27005（信息安全風(fēng)險(xiǎn)管理），ISO/IEC27006（信息安全管理體系審核認(rèn)證機(jī)構(gòu)要求）,。目前正式發(fā)布的有3個(gè),，即ISO/IEC27001、ISO/IEC27002,、ISO/IEC27006,。

　　ISO/IEC27000系列標(biāo)準(zhǔn)為我們提供了指導(dǎo)性建議德魯巴，即基于PDCA（規(guī)劃-執(zhí)行-控制-改進(jìn)）模型的持續(xù)改進(jìn)的過程模式。根據(jù)標(biāo)準(zhǔn)中提出的最佳實(shí)踐方法,，可以形成一套動(dòng)態(tài),、系統(tǒng)、制度化和以預(yù)防為主的信息安全管理體系（Information Security Management System, 簡稱為ISMS）,。ISMS是管理體系方法在信息安全領(lǐng)域中的運(yùn)用,，它可以從組織整體的角度來識(shí)別安全風(fēng)險(xiǎn)，通過采取相應(yīng)的安全控制措施（既包括安全技術(shù)措施,，也包括安全管理措施）EFI,，實(shí)現(xiàn)綜合防范、保障信息安全的目標(biāo),。

　　國家標(biāo)準(zhǔn)GB/T22081-2008《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》和國家標(biāo)準(zhǔn)GB/T22081-2008《信息技術(shù) 安全技術(shù) 信息安全管理實(shí)用規(guī)則》于2008年6月19日正式發(fā)布,，并于2008年11月1日起實(shí)施。它們等同采用了國際標(biāo)準(zhǔn)ISO/IEC27001∶2005和ISO/IEC27002∶2005,，為國內(nèi)組織建立信息安全管理體系（ISMS）和認(rèn)證機(jī)構(gòu)從事ISMS認(rèn)證提供了一致的標(biāo)準(zhǔn)依據(jù),。

　　國家標(biāo)準(zhǔn)GB/T22081-2008《信息技術(shù) 安全技術(shù) 安全技術(shù) 信息安全管理體系 要求》是建立和維持信息安全管理體系的標(biāo)準(zhǔn)。它要求組織通過確定信息安全管理體系范圍,、制定信息安全方針,、明確管理職責(zé)、以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)與控制方式等活動(dòng)建立信息安全管理體系,。

　　信息安全即信息的保密性,、完整性、可用性以及其他屬性的保持和維護(hù),。保密性指保證信息僅為那些被授權(quán)使用的人獲�,。煌暾�性指保護(hù)信息及其處理方法的準(zhǔn)確和完整,；可用性是指保證被授權(quán)使用人需要時(shí)可以獲取信息和使用相關(guān)的資產(chǎn),；其他屬性包括真實(shí)性、可檢查性,、可靠性,、防抵賴性等。而信息的范疇不僅涵蓋了企業(yè)自身的所有信息,，也包括客戶,、相關(guān)方由于業(yè)務(wù)關(guān)系而由企業(yè)來保存、使用和管理的信息,。

　　信息安全管理體系的建立可以強(qiáng)化員工的信息安全意識(shí),，提高企業(yè)對(duì)關(guān)鍵信息資產(chǎn)的防護(hù)能力；在信息系統(tǒng)受到侵襲時(shí)膠片,，確保業(yè)務(wù)持續(xù)開展,，并將損失降到最低程度；企業(yè)較高的信息安全管理會(huì)使業(yè)務(wù)伙伴和客戶放心合作。特別是對(duì)于安全印務(wù)公司,，“安全”是整個(gè)業(yè)務(wù)的關(guān)鍵點(diǎn),，是與其他印刷活動(dòng)的本質(zhì)區(qū)別，尤其是對(duì)于安全屬性中的“保密性”應(yīng)高度重視,。企業(yè)從接單開始食品包裝,，到生產(chǎn)作業(yè)，到交付至客戶,，每一個(gè)環(huán)節(jié)都必須保障業(yè)務(wù)信息和客戶信息以及產(chǎn)品的安全保密,，因此，建立完備的信息安全管理體系是開展安全印務(wù)的基本前提,。

　　 【點(diǎn)擊查看更多精彩內(nèi)容】

        相關(guān)新聞:
　　我國正式啟動(dòng)信息安全管理體系認(rèn)可工作
　　柯尼卡美能達(dá)：信息安全 2008致勝之道
　　中國信息安全產(chǎn)品防偽測評(píng)中心在上海成立

　

　　一、信息資產(chǎn)的分類

　　信息資產(chǎn)一般分為一下幾大類

　　1.軟件：應(yīng)用軟件（如數(shù)據(jù)庫軟件,、操作系統(tǒng)軟件,、硬件驅(qū)動(dòng)程序、開發(fā)工具,、軟件防火墻等,。

　　2.硬件：主機(jī)、交換機(jī),、路由器,、備份份存儲(chǔ)設(shè)備、備份磁帶,、移動(dòng)計(jì)算設(shè)備（移動(dòng)硬盤/U盤/光盤）、硬件防火墻,、網(wǎng)絡(luò)布線等,。

　　3.電子數(shù)據(jù)：源代碼、數(shù)據(jù)庫數(shù)據(jù)各種數(shù)據(jù)資料,、系統(tǒng)文檔,、運(yùn)行管理規(guī)程、計(jì)劃,、報(bào)告等,。

　　4.實(shí)體信息:紙質(zhì)的各種文件、合同,、傳真,、財(cái)務(wù)報(bào)告、發(fā)展計(jì)劃,、證書UV印刷,，以及各類其他材質(zhì)的證書獎(jiǎng)牌等。

　　5.辦公設(shè)施:打印機(jī)、復(fù)印機(jī),、電源,、空調(diào)、保險(xiǎn)柜,、文件柜,、門禁、消防設(shè)施,、照明系統(tǒng)等,。

　　6.人員：各級(jí)管理人員、安全人員,、網(wǎng)管員,、系統(tǒng)管理員、業(yè)務(wù)操作人員,，第三方人員,，臨時(shí)雇傭人員等。

　　二,、信息資產(chǎn)的等級(jí)和重要度

　　信息資產(chǎn)的重要程度一般分為三個(gè)等級(jí),，即高、中,、低,。其劃定和判斷的標(biāo)準(zhǔn)為以下內(nèi)容。

　　高：對(duì)這些資產(chǎn)的安全屬性的影響將對(duì)公司造成災(zāi)難性的損失,，通常其直接或間接的影響范圍波及到整個(gè)公司,。如網(wǎng)絡(luò)服務(wù)器硬件及操作系統(tǒng)，安全印務(wù)重要產(chǎn)品的膠片,、票樣印刷市場,，廢品，工藝流程卡,，產(chǎn)品數(shù)據(jù)庫等,。

　　中：對(duì)這些資產(chǎn)的安全屬性的影響將對(duì)公司造成較嚴(yán)重的損失，通常其影響范圍波及到公司的局部,。如電腦客戶端中的客戶信息,、產(chǎn)品信息，重要人員的臺(tái)式電腦,、施工單,、移動(dòng)介質(zhì)等。

　　低：對(duì)這些資產(chǎn)的安全屬性的影響將對(duì)公司造成一定的損失油墨,，通常其影響范圍僅波及到公司的很少部門,。如不聯(lián)外網(wǎng)的普通客戶端,、復(fù)印機(jī)、打印機(jī)等,。

　　三,、信息資產(chǎn)的識(shí)別和風(fēng)險(xiǎn)評(píng)估

　　對(duì)信息資產(chǎn)的風(fēng)險(xiǎn)評(píng)估是對(duì)其進(jìn)行管理的重要基礎(chǔ)。風(fēng)險(xiǎn)評(píng)估前應(yīng)先對(duì)信息資產(chǎn)進(jìn)行識(shí)別,，并形成資產(chǎn)清單,，然后對(duì)這些資產(chǎn)進(jìn)行風(fēng)險(xiǎn)分析和評(píng)價(jià)，使用適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估工具,，識(shí)別信息和信息處理設(shè)施的威脅,、影響和脆弱點(diǎn)及其安全失效發(fā)生的可能性地圖印刷，由此評(píng)估和確認(rèn)安全風(fēng)險(xiǎn)大小及等級(jí),，形成風(fēng)險(xiǎn)評(píng)估報(bào)告,。風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)區(qū)別和判斷可接受的風(fēng)險(xiǎn)和不可接受的風(fēng)險(xiǎn)。食品包裝

　　能否準(zhǔn)確,、正確地對(duì)信息資產(chǎn)進(jìn)行識(shí)別,、評(píng)估是信息安全管理的重要基礎(chǔ)，它為信息安全管理的后續(xù)工作提供方向和依據(jù),，因?yàn)楹罄m(xù)工作的優(yōu)先等級(jí)和關(guān)注程度都是由信息安全風(fēng)險(xiǎn)決定的,，而且安全控制措施的效果也必須通過對(duì)剩余風(fēng)險(xiǎn)的評(píng)估來衡量。

　　四,、信息資產(chǎn)的風(fēng)險(xiǎn)處置

　　通過風(fēng)險(xiǎn)評(píng)估識(shí)別出信息資產(chǎn)的風(fēng)險(xiǎn)大小后,，即應(yīng)通過制定信息安全方針，選擇適當(dāng)?shù)目刂颇繕?biāo)與控制方式使風(fēng)險(xiǎn)得到避免,、轉(zhuǎn)移或降至一個(gè)可被接受的水平,。風(fēng)險(xiǎn)等級(jí)高的，一定要采取有針對(duì)性的計(jì)劃措施,。風(fēng)險(xiǎn)等級(jí)為中的,，應(yīng)當(dāng)有糾正行動(dòng)，必須在一個(gè)合理的時(shí)間段內(nèi)制定有關(guān)計(jì)劃來實(shí)施這些行動(dòng),。風(fēng)險(xiǎn)等級(jí)低的人物，管理層可以根據(jù)具體情況確定是否需要采取糾正行動(dòng),，或者接受風(fēng)險(xiǎn),。根據(jù)風(fēng)險(xiǎn)評(píng)估報(bào)告，針對(duì)不可接受的風(fēng)險(xiǎn),，從ISO/IEC 27001∶2005標(biāo)準(zhǔn)附錄A中選擇適當(dāng)?shù)目刂颇繕?biāo)和控制措施,，制定風(fēng)險(xiǎn)處理計(jì)劃。

　　五,、控制目標(biāo)和控制措施

　　ISO/IEC27001∶2005標(biāo)準(zhǔn)附錄A中列出的控制目標(biāo)與控制措施直接引用了ISO/IEC27002∶2005第5章到15章上海電氣,，它已包含了廣泛通用的控制目標(biāo)和控制措施列表,，具體為，A.5安全策略,；A.6信息安全組織,；A.7資產(chǎn)管理；A.8人力資源安全,；A.9物理與環(huán)境安全,；A.10通訊及操作管理；A.11訪問控制,；A.12信息系統(tǒng)的獲取,、開發(fā)和維護(hù)；A.13信息安全事故管理,；A.14業(yè)務(wù)連續(xù)性管理,；A.15符合性。其中每一章都有明確的控制目標(biāo),，并細(xì)分為133小項(xiàng),，提出了控制措施。企業(yè)應(yīng)按照133項(xiàng)控制項(xiàng)目和控制措施實(shí)施管理EFI,，使各項(xiàng)措施都處于有效控制狀態(tài),。

　　六、適用性聲明（SOA文件）

　　適應(yīng)性聲明ISO/IEC27001∶2005中的重要概念和重要文件,，是企業(yè)對(duì)經(jīng)過風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置過程所識(shí)別的適用于自己的控制目標(biāo)和控制措施的評(píng)述,，相當(dāng)于一個(gè)控制目標(biāo)與控制方式清單，其中應(yīng)闡述選擇和不選擇的理由,，并標(biāo)明涉及的文件科雷,，企業(yè)編寫SOA文件時(shí)應(yīng)直接選擇但不限于附錄A的全部列表內(nèi)容。例如A.7.1.1資產(chǎn)清單,，對(duì)應(yīng)的控制措施為“應(yīng)清楚識(shí)別所有的資產(chǎn),，編制并保持所有重要資產(chǎn)清單”，對(duì)應(yīng)該項(xiàng)要求,，必須選用并列出資產(chǎn)清單,；再如A.10.9.1電子商務(wù)標(biāo)簽，一般印刷企業(yè)不使用電子商務(wù),，此項(xiàng)就可不必選用,。

　　七、ISO/IEC27001∶2005與其他管理體系的兼容性

　　ISO/IEC27001∶2005附錄C列示了幾個(gè)體系要求的對(duì)應(yīng)關(guān)系,，從中可以看出,，ISO/IEC27001∶2005與ISO9001∶2000質(zhì)量管理體系、ISO14001∶2004環(huán)境管理體系是協(xié)調(diào)一致的,，它們相互支持人民幣,，并可進(jìn)行整合實(shí)施和運(yùn)行,。

　　本文并未闡述建立一個(gè)信息安全管理體系的過程，而是介紹了信息安全管理中的一些關(guān)鍵概念和關(guān)鍵要求,。只有明確了這些關(guān)鍵概念和要求,，才可以科學(xué)、主動(dòng)地建立ISMS,，系統(tǒng),、有效地保護(hù)企業(yè)信息資產(chǎn)的安全。特別要說明的是,，信息安全管理對(duì)于印刷企業(yè)是比較新的概念測評(píng),，實(shí)踐經(jīng)驗(yàn)也比較少，因此本文難免會(huì)有一些紕漏,，敬請(qǐng)指正,。