在日趋网络化的世界里,「信息」对建立竞争优势起着举足轻重的作用。但它同时也是柄双刃剑,当信息被意外或刻意的传给恶意的接收者时,同样的信息也可能导致一所机构倒闭。在当今的信息时代,科技无疑为我们解决了不少问题。
国际标准组织(ISO)应此类需求,制定了 ISO 27001:2005标准,为如何建立、推行、维持及改善信息安全管理系统提供帮助。信息安全管理系统(ISMS)是高层管理人员用以监察及控制信息安全、减少商业风险和确保保安系统持续符合企业、客户及法律要求的一个体系。ISO/IEC 27001:2005 能协助机构保护专利信息,同时也为制定统一的机构保安标准搭建了一个平台,更有助于提升安全管理的实务表现和增强机构间商业往来的信心与信任。
什么机构可采用 ISO/IEC 27001:2005 标准?
任何使用内部或外部电脑系统、拥有机密资料及/或依靠信息系统进行商业活动地机构,均可采用 ISO/IEC 27001:2005标准 。简单的说,也就是那些需要处理信息、并认识到信息保护重要性的机构。
ISO/IEC 27001 的控制目标及措施
ISO/IEC 27001制定的宗旨是确保机构信息的机密性、完整性及可用性,为达成上述宗旨,该标准共提出了39个控制目标及134项控制措施,推行ISO/IEC 27001标准的机构可在其中选择适用于其业务的控制措施,同时也可增加其他的控制措施。而与ISO/IEC 27001相辅的 ISO 17799:2005 标准是信息安全管理的实务守则,为如何推行控制措施提供指引。
ISO/ IEC 27001:2005 的架构
ISO/ IEC 27001:2005 标准在 2005 年 10 月公布,同时取缔了多国采纳的英国标准 BS 7799-2:2002 ,但新旧标准的要求并无太大分别。ISO / IEC 27001:2005 标准以 Edward Deming 博士提出的“计划-实施-核查-采取行动”循环周期作为制定蓝图,以实现持续改善的目标。
I. 计划
计划最重要的部分是设定涵盖的范畴及区域,它可以是:
覆盖整个组织并涉及多个地点的办事处及/或厂房
只涉及一个办事处或厂房
只涉及一个多元化服务供应商的其中一个业务计划的主要工作包括信息安全管理系统、风险评估、风险管理、风险处理措施和适用性报告。
信息安全管理系统是运营风险整体管理系统的其中一部分,目的是建立、实施、推行、检讨、维持及改善信息安全。
机构在信息的机密性、完整性和可用性三方面的目标各是什么呢?什么程度的风险是可接受的?是否存在任何限制,如法律、法规或机构内部程序?信息安全政策应该是一份由行政总监签署认可的文件。控制措施应采取由上至下的推行方式。
风险评估 根据需要保护的信息和可接受的风险程度来识别真正的风险,并就这些风险出现的可能性与其影响的严重性作出评估,从而辨别出机构需要管理的风险,即下图红色部分内的风险。
风险管理 / 风险处理
完成风险评估后,便要决定如何处理这些风险。
适用性报告 (Statement of Applicability)
识别出所有的保安措施,指出哪些对机构而言是适用或不适用的,并说明原因。必须针对风险评估的结果来选择控制措施。
II. 实施
选定了控制措施后,便需落实推行,同时也需制定程序以确保能够迅速察觉到事故的发生并作出回应,并确保所有员工都了解信息安全的重要性,且确保其接受了适当的培训,及有能力执行他们负责的保安任务。此外,还要妥善管理所需的资源。
III. 核查
核查的目的是确保控制措施都已推行,并能达到既定的目标。尽管有多种可行的核查方法,但只有内部审核与管理检讨是强制性的要求。
IV. 采取行动
最后便需对核查结果采取适当的行动,相关的行动可以是:
* 修正
* 预防
* 改善
总结
ISO/IEC 27001:2005 标准为所有行业的机构都提供了一套业务工具,协助其避免信息保安的失误,从而降低了相应的风险。正式推行ISO/IEC 27001:2005 并取得有关认证的机构将受益匪浅,以下列举其中数项:
由于按照国际标准实施适当的控制措施,机构便能自行将信息保安的失误率降至最低以系统化的方法处理符合法律的问题,从而减低所需承担的法律责任风险
以系统化的方法计划及管理运营的持续性增加客户、合作伙伴和相关人士对机构的信心提升营运收入,并为机构带来更多商机 。
IEC 62368-1:2023第四版标准更新与变化解读
在2023年05月26日国际电工委员会(IEC)发布了音视频、信息技术和通信技术设备标准IEC 62368-1:2023第4版后,2023年08月18日IECEE终于发布了TRF模板,为新版标准的实施和应用做好了准备。IEC62368-1第四版标准更新与变
0评论2025-03-1265
医疗标准IEC 60601-1与信息技术通信标准IEC 62368-1对电源供应器的安规认证差异说明
随着AI医疗与信息化诊断工具(Medical Information)的市场成长,有越来越多开关电源(Power Supply)厂家要从原本信息技术产业(Information Technology),跨入医疗设备产业(Medical Electrical),往往会遇到如
0评论2025-03-1017
灯具照明产品IEC 60598-1:2024标准更新解读
2024年11月6日,IEC发布了新版灯具标准IEC 60598-1:2024,此版本基于2020版进行比对,主要有如下重大变更:(a)灯具排版结构明显修改,标记章节将对应符号直接放在对应条款下方,阅读更方便,具体参考附录V新旧版标准条款对
0评论2024-12-12270
GB 21520-2023显示器能效标准更新以及新旧标准主要变化解读
2023年5月23日发布的GB 21520-2023《显示器能效限定值及能效等级》,于2024年6月1日起实施并替代GB 21520-2015(旧版标准)。同时中国质量认证中心(英文缩写CQC)对涉及此标准的认证规则CQC31-452629-2016《计算机
0评论2024-07-11333
GB 43854-2024《电动自行车锂离子蓄电池安全技术规范》解读
近日,市场监管总局(国家标准委)发布GB 43854-2024《电动自行车用锂离子蓄电池安全技术规范》(以下简称《技术规范》)强制性国家标准,该标准由工业和信息化部归口,将于2024年11月1日正式实施。现就《技术规范》
0评论2024-05-14668
《电动自行车行业规范条件》解读
2024年4月30日,工业和信息化部、国家市场监督管理总局、国家消防救援局联合印发了《电动自行车行业规范条件》(以下简称《规范条件》)和《电动自行车行业规范公告管理办法》(以下简称《管理办法》)。为更好地理
0评论2024-05-1444
EN 60335-1/A15:2021和A16:2023新旧标准主要差异
近日,欧盟发布了新标EN 60335-1/A16:2023 《家用电器及类似电器的安全 第一部分 通用要求》新旧标准主要差异如下:1. 旧标准EN 60335-1+A15:2021针对儿童感兴趣的产品:如果器具是儿童感兴趣的或质量小于4 kg或安装
0评论2024-04-11361
医疗器械毒理学风险评估新标准ISO 10993-17:2023 解读
ISO 10993-17 标准经过二十多年的发展,最近进行了全面修订,标志着生物兼容性相关标准系列的重大更新。该标准重点关注毒理学风险评估(Toxicological risk assessment, TRA)的程序,这对确保患者使用医疗器械时的安
0评论2024-03-05423
空气净化器IEC 60335-2-65:2023标准更新说明
近日,国际电工委员会发布了空气净化器第3版标准IEC 60335-2-65:2023,新标考虑了包括正常条件下使用电器时多种类型危险的保护,例如电气、机械、热、火灾和UV辐射。新标变化介绍以下:标准使用建议IEC 60335-2-65:2
0评论2024-02-22133
家用加湿器IEC 60335-2-98:2023标准更新说明
近日,国际电工委员会发布了加湿器第3版标准IEC 60335-2-98:2023,新标考虑了包括正常条件下使用电器时多种类型危险的保护,例如电气、机械、热、火灾和外观像玩具的风险。新标变化介绍以下:标准使用建议IEC 60335-
0评论2024-02-2287
