公司名称：北京软企业在线科技有限公司

信息是一种资产，一旦损毁、丢失、或被不适当地曝光，会给组织带来一系列的损失，如“冰山原理”所描述，我们能直接感知到的数据的丢失，只是整体损失的冰山一角，潜藏在水面下的部分，可能会是直接损失的6~53倍，这包括：损失了时间，替代的成本，可能的法律风险，声誉受损，丢失潜在的业务，竞争力和生产力受损等等。这些损失是我们不愿意面对的，因此信息安全越来越成为我们关注的热点问题。
　　三根支柱　不可偏废
　　信息安全的问题倍受关注，是信息技术发展到一定水平，信息化深入到一定程度之后的一个必然趋势和结果。信息对于业务的重要性，或者讲业务对于信息的依赖性，使得信息安全问题尤为突出，另外一个方面，信息媒介的多样性，信息传播的广泛性等因素也造就了保护信息安全的复杂度。因此如何来保护信息安全，怎么样才能保护信息安全，成为技术厂商、管理专家经常探讨和论述的话题。
　　我们知道保障信息安全有三个支柱，一个是技术、一个是管理、一个是法律法规。而我们日常提及信息安全时，多是在技术相关的领域，例如IDS入侵检测技术、Firewall防火墙技术、Anti-Virus防病毒技术、加密技术、CA认证技术等等。这是因为信息安全技术和产品的采纳，能够快速见到直接效益，同时，技术和产品的发展水平也相对较高，此外，技术厂商对市场的培育，不断提升着人们对信息安全技术和产品的认知度。虽然大家在面对信息安全事件时总是在叹息：“道高一尺、魔高一丈”，在反思自身技术的不足，实质上人们此时忽视的是另外两个层面的保障。
　　国家的法律法规方面，有专门的部门在研究和制定和推广，不是本文探讨的主题，我们要讨论的是，谁来关注管理对信息安全的保障呢?这要靠组织自己通过意识提高，管理水平的提升来逐步改善。
　　正如“木桶原理”所示，你的能力是由你*弱的那个环节决定的，我们发展信息安全事业，保护信息安全，也应该从上述三个方面全面考量，而不能只偏重其中的某一个部分。
　　管理体系如何架构
　　当我们考虑到用管理体系的方法来保护信息安全时，ISO27000/BS7799信息安全管理体系标准无疑是一个很好的帮助：
　　ISO27000/BS7799是一套基于*佳实践的成功的信息安全管理体系方法，她*早由英国商务部推动，由BSI将其发展成为标准。ISO27000/BS7799共分两部分，*一部分已经在2000年被采纳为ISO17799，是信息安全管理实践指南，第二部分ISO27000/BS7799-2是信息安全管理体系规范，换言之，第二部分告诉我们应该做什么，*一部分则提供了一些如何做或者好做法的指导。
　　从中我们可以看到，作为一个信息安全管理体系，输入是相关方的信息安全的期望和要求，经过一个PDCA体系的循环，得到的输出将是各相关方信息安全要求的满足，也就是说，信息安全已经受到管理和掌控。
　　ISO27000/BS7799汇集了优秀企业*佳实践，规范了10个安全控制区域，36个安全控制目标和127个安全控制措施。她以风险评估为基础，自顶向下的管理方法，从组织、人员、流程、技术、法律法规、永续经营等全方位实施的管理体系。
　　

联系人：张先生
CMMI评估热线：400-8628-010
手机：15830890239
QQ:827912817