【我要印】訊：對一個(gè)企業(yè)或實(shí)體而言，信息是具有重要價(jià)值并且可以通過(guò)多種媒體傳遞和存在的一種資源。當今社會(huì )無(wú)疑已發(fā)展成一個(gè)信息社會(huì )收購，我們會(huì )因為信息的發(fā)達更快更準確地做出決策，而企業(yè)的很多有用信息也會(huì )很快成為競爭對手利用的資源，甚至還可能對企業(yè)自身產(chǎn)生威脅。同時(shí)，隨著(zhù)企業(yè)以計算機為主體的信息化建設的推進(jìn)，企業(yè)對信息管理體系的依賴(lài)性非常大廠(chǎng)商信息，而信息化體系本身的安全性卻受到來(lái)自多方面的影響和威脅，因此，企業(yè)有價(jià)值的信息已成為一種不容忽視的資產(chǎn)，應當對它的安全狀態(tài)進(jìn)行有效管理。

　　伴隨著(zhù)市場(chǎng)競爭的日益激烈，印刷企業(yè)紛紛借助國際標準完善管理，同時(shí)借此順利邁過(guò)招標項目的門(mén)檻。據不完全統計報紙印刷，超過(guò)半數的大型印刷企業(yè)通過(guò)了ISO9001質(zhì)量管理體系認證，還有很多企業(yè)通過(guò)了ISO14001環(huán)境管理體系認證和OHSAS18000職業(yè)健康安全管理體系認證。而在信息安全管理方面，隨著(zhù)近年來(lái)相關(guān)標準迅速被全球所認可和接受，印刷企業(yè)也找到了一個(gè)解決信息安全風(fēng)險難題的有效方法。

　　ISO/IEC27001信息安全管理體系的有關(guān)要求

　　ISO/IEC27001系列標準包含下列標準：ISO/IEC27001（信息技術(shù) 安全技術(shù) 信息安全管理體系-要求），ISO/IEC27002（信息技術(shù) 安全技術(shù) 信息安全管理實(shí)用規則）印后設備，ISO/IEC27003（信息安全管理體系實(shí)施指南），ISO/IEC27004（信息安全管理-測量），ISO/IEC27005（信息安全風(fēng)險管理），ISO/IEC27006（信息安全管理體系審核認證機構要求）。目前正式發(fā)布的有3個(gè)，即ISO/IEC27001、ISO/IEC27002、ISO/IEC27006。

　　ISO/IEC27000系列標準為我們提供了指導性建議德魯巴，即基于PDCA（規劃-執行-控制-改進(jìn)）模型的持續改進(jìn)的過(guò)程模式。根據標準中提出的最佳實(shí)踐方法，可以形成一套動(dòng)態(tài)、系統、制度化和以預防為主的信息安全管理體系（Information Security Management System, 簡(jiǎn)稱(chēng)為ISMS）。ISMS是管理體系方法在信息安全領(lǐng)域中的運用，它可以從組織整體的角度來(lái)識別安全風(fēng)險，通過(guò)采取相應的安全控制措施（既包括安全技術(shù)措施，也包括安全管理措施）EFI，實(shí)現綜合防范、保障信息安全的目標。

　　國家標準GB/T22081-2008《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》和國家標準GB/T22081-2008《信息技術(shù) 安全技術(shù) 信息安全管理實(shí)用規則》于2008年6月19日正式發(fā)布，并于2008年11月1日起實(shí)施。它們等同采用了國際標準ISO/IEC27001∶2005和ISO/IEC27002∶2005，為國內組織建立信息安全管理體系（ISMS）和認證機構從事ISMS認證提供了一致的標準依據。

　　國家標準GB/T22081-2008《信息技術(shù) 安全技術(shù) 安全技術(shù) 信息安全管理體系 要求》是建立和維持信息安全管理體系的標準。它要求組織通過(guò)確定信息安全管理體系范圍、制定信息安全方針、明確管理職責、以風(fēng)險評估為基礎選擇控制目標與控制方式等活動(dòng)建立信息安全管理體系。

　　信息安全即信息的保密性、完整性、可用性以及其他屬性的保持和維護。保密性指保證信息僅為那些被授權使用的人獲��；完整性指保護信息及其處理方法的準確和完整；可用性是指保證被授權使用人需要時(shí)可以獲取信息和使用相關(guān)的資產(chǎn)；其他屬性包括真實(shí)性、可檢查性、可靠性、防抵賴(lài)性等。而信息的范疇不僅涵蓋了企業(yè)自身的所有信息，也包括客戶(hù)、相關(guān)方由于業(yè)務(wù)關(guān)系而由企業(yè)來(lái)保存、使用和管理的信息。

　　信息安全管理體系的建立可以強化員工的信息安全意識，提高企業(yè)對關(guān)鍵信息資產(chǎn)的防護能力；在信息系統受到侵襲時(shí)膠片，確保業(yè)務(wù)持續開(kāi)展，并將損失降到最低程度；企業(yè)較高的信息安全管理會(huì )使業(yè)務(wù)伙伴和客戶(hù)放心合作。特別是對于安全印務(wù)公司，“安全”是整個(gè)業(yè)務(wù)的關(guān)鍵點(diǎn)，是與其他印刷活動(dòng)的本質(zhì)區別，尤其是對于安全屬性中的“保密性”應高度重視。企業(yè)從接單開(kāi)始食品包裝，到生產(chǎn)作業(yè)，到交付至客戶(hù)，每一個(gè)環(huán)節都必須保障業(yè)務(wù)信息和客戶(hù)信息以及產(chǎn)品的安全保密，因此，建立完備的信息安全管理體系是開(kāi)展安全印務(wù)的基本前提。

　　 【點(diǎn)擊查看更多精彩內容】

        相關(guān)新聞:
　　我國正式啟動(dòng)信息安全管理體系認可工作
　　柯尼卡美能達：信息安全 2008致勝之道
　　中國信息安全產(chǎn)品防偽測評中心在上海成立

　

　　一、信息資產(chǎn)的分類(lèi)

　　信息資產(chǎn)一般分為一下幾大類(lèi)

　　1.軟件：應用軟件（如數據庫軟件、操作系統軟件、硬件驅動(dòng)程序、開(kāi)發(fā)工具、軟件防火墻等。

　　2.硬件：主機、交換機、路由器、備份份存儲設備、備份磁帶、移動(dòng)計算設備（移動(dòng)硬盤(pán)/U盤(pán)/光盤(pán)）、硬件防火墻、網(wǎng)絡(luò )布線(xiàn)等。

　　3.電子數據：源代碼、數據庫數據各種數據資料、系統文檔、運行管理規程、計劃、報告等。

　　4.實(shí)體信息:紙質(zhì)的各種文件、合同、傳真、財務(wù)報告、發(fā)展計劃、證書(shū)UV印刷，以及各類(lèi)其他材質(zhì)的證書(shū)獎牌等。

　　5.辦公設施:打印機、復印機、電源、空調、保險柜、文件柜、門(mén)禁、消防設施、照明系統等。

　　6.人員：各級管理人員、安全人員、網(wǎng)管員、系統管理員、業(yè)務(wù)操作人員，第三方人員，臨時(shí)雇傭人員等。

　　二、信息資產(chǎn)的等級和重要度

　　信息資產(chǎn)的重要程度一般分為三個(gè)等級，即高、中、低。其劃定和判斷的標準為以下內容。

　　高：對這些資產(chǎn)的安全屬性的影響將對公司造成災難性的損失，通常其直接或間接的影響范圍波及到整個(gè)公司。如網(wǎng)絡(luò )服務(wù)器硬件及操作系統，安全印務(wù)重要產(chǎn)品的膠片、票樣印刷市場(chǎng)，廢品，工藝流程卡，產(chǎn)品數據庫等。

　　中：對這些資產(chǎn)的安全屬性的影響將對公司造成較嚴重的損失，通常其影響范圍波及到公司的局部。如電腦客戶(hù)端中的客戶(hù)信息、產(chǎn)品信息，重要人員的臺式電腦、施工單、移動(dòng)介質(zhì)等。

　　低：對這些資產(chǎn)的安全屬性的影響將對公司造成一定的損失油墨，通常其影響范圍僅波及到公司的很少部門(mén)。如不聯(lián)外網(wǎng)的普通客戶(hù)端、復印機、打印機等。

　　三、信息資產(chǎn)的識別和風(fēng)險評估

　　對信息資產(chǎn)的風(fēng)險評估是對其進(jìn)行管理的重要基礎。風(fēng)險評估前應先對信息資產(chǎn)進(jìn)行識別，并形成資產(chǎn)清單，然后對這些資產(chǎn)進(jìn)行風(fēng)險分析和評價(jià)，使用適當的風(fēng)險評估工具，識別信息和信息處理設施的威脅、影響和脆弱點(diǎn)及其安全失效發(fā)生的可能性地圖印刷，由此評估和確認安全風(fēng)險大小及等級，形成風(fēng)險評估報告。風(fēng)險評估報告應區別和判斷可接受的風(fēng)險和不可接受的風(fēng)險。食品包裝

　　能否準確、正確地對信息資產(chǎn)進(jìn)行識別、評估是信息安全管理的重要基礎，它為信息安全管理的后續工作提供方向和依據，因為后續工作的優(yōu)先等級和關(guān)注程度都是由信息安全風(fēng)險決定的，而且安全控制措施的效果也必須通過(guò)對剩余風(fēng)險的評估來(lái)衡量。

　　四、信息資產(chǎn)的風(fēng)險處置

　　通過(guò)風(fēng)險評估識別出信息資產(chǎn)的風(fēng)險大小后，即應通過(guò)制定信息安全方針，選擇適當的控制目標與控制方式使風(fēng)險得到避免、轉移或降至一個(gè)可被接受的水平。風(fēng)險等級高的，一定要采取有針對性的計劃措施。風(fēng)險等級為中的，應當有糾正行動(dòng)，必須在一個(gè)合理的時(shí)間段內制定有關(guān)計劃來(lái)實(shí)施這些行動(dòng)。風(fēng)險等級低的人物，管理層可以根據具體情況確定是否需要采取糾正行動(dòng)，或者接受風(fēng)險。根據風(fēng)險評估報告，針對不可接受的風(fēng)險，從ISO/IEC 27001∶2005標準附錄A中選擇適當的控制目標和控制措施，制定風(fēng)險處理計劃。

　　五、控制目標和控制措施

　　ISO/IEC27001∶2005標準附錄A中列出的控制目標與控制措施直接引用了ISO/IEC27002∶2005第5章到15章上海電氣，它已包含了廣泛通用的控制目標和控制措施列表，具體為，A.5安全策略；A.6信息安全組織；A.7資產(chǎn)管理；A.8人力資源安全；A.9物理與環(huán)境安全；A.10通訊及操作管理；A.11訪(fǎng)問(wèn)控制；A.12信息系統的獲取、開(kāi)發(fā)和維護；A.13信息安全事故管理；A.14業(yè)務(wù)連續性管理；A.15符合性。其中每一章都有明確的控制目標，并細分為133小項，提出了控制措施。企業(yè)應按照133項控制項目和控制措施實(shí)施管理EFI，使各項措施都處于有效控制狀態(tài)。

　　六、適用性聲明（SOA文件）

　　適應性聲明ISO/IEC27001∶2005中的重要概念和重要文件，是企業(yè)對經(jīng)過(guò)風(fēng)險評估和風(fēng)險處置過(guò)程所識別的適用于自己的控制目標和控制措施的評述，相當于一個(gè)控制目標與控制方式清單，其中應闡述選擇和不選擇的理由，并標明涉及的文件科雷，企業(yè)編寫(xiě)SOA文件時(shí)應直接選擇但不限于附錄A的全部列表內容。例如A.7.1.1資產(chǎn)清單，對應的控制措施為“應清楚識別所有的資產(chǎn)，編制并保持所有重要資產(chǎn)清單”，對應該項要求，必須選用并列出資產(chǎn)清單；再如A.10.9.1電子商務(wù)標簽，一般印刷企業(yè)不使用電子商務(wù)，此項就可不必選用。

　　七、ISO/IEC27001∶2005與其他管理體系的兼容性

　　ISO/IEC27001∶2005附錄C列示了幾個(gè)體系要求的對應關(guān)系，從中可以看出，ISO/IEC27001∶2005與ISO9001∶2000質(zhì)量管理體系、ISO14001∶2004環(huán)境管理體系是協(xié)調一致的，它們相互支持人民幣，并可進(jìn)行整合實(shí)施和運行。

　　本文并未闡述建立一個(gè)信息安全管理體系的過(guò)程，而是介紹了信息安全管理中的一些關(guān)鍵概念和關(guān)鍵要求。只有明確了這些關(guān)鍵概念和要求，才可以科學(xué)、主動(dòng)地建立ISMS，系統、有效地保護企業(yè)信息資產(chǎn)的安全。特別要說(shuō)明的是，信息安全管理對于印刷企業(yè)是比較新的概念測評，實(shí)踐經(jīng)驗也比較少，因此本文難免會(huì )有一些紕漏，敬請指正。