Por qué es necesaria la certificación del sistema de gestión de seguridad de la información

Al igual que otros activos comerciales importantes, la información es un activo valioso para la organización y, por lo tanto, debe protegerse adecuadamente. La seguridad de la información protege la información de una serie de amenazas, garantiza la continuidad del negocio de la organización, minimiza las pérdidas comerciales de la organización y obtiene con éxito inversiones y retornos comerciales. La información puede existir en muchas formas. Puede imprimirse o escribirse en papel (como un estado financiero escrito, etc.); almacenarse electrónicamente (como una cinta de respaldo del sistema ERP de una organización); transmitirse por correo o por medios electrónicos; expresarse en una conversación; No importa cómo se disfrute y almacene la información, es valiosa y debe protegerse adecuadamente.

En segundo lugar, la seguridad de la información se refleja principalmente en los siguientes tres aspectos:

? 1. Manténgalo confidencial. La confidencialidad se refiere a garantizar que la información, especialmente la importante, no se pierda ni sea robada ilegalmente por personal ajeno al departamento. Por ejemplo, información de depositantes en bancos, información médica de pacientes en hospitales, documentos confidenciales de agencias gubernamentales y departamentos de seguridad, información de clientes, información comercial de empresas, patentes e información de tecnología patentada, etc. , quién debe ver y quién no debe ver, qué información confidencial puede ser vista por el personal de qué nivel/departamento y cómo almacenarla y conservarla, todos deben formular medidas y especificaciones específicas para evitar que la pérdida de información cause efectos adversos y consecuencias económicas importantes. pérdidas.

2. La llamada integridad de la información significa que la información no se pierde ni falta. Por ejemplo, tome ciertas medidas para evitar que los archivos de disco almacenados en su computadora se dañen o se pierdan debido a una operación incorrecta o ataques de virus. Otro ejemplo es evitar que los documentos impresos almacenados resulten dañados por moho e insectos, y evitar que los documentos y la información resulten dañados por inundaciones e incendios.

3. Disponibilidad. Disponibilidad significa que la información se puede obtener inmediatamente cuando se necesita. Por ejemplo, se pueden tomar ciertas medidas para evitar paros laborales o oportunidades comerciales perdidas debido a la ausencia de una determinada persona encargada de la información u otras circunstancias anormales.

Organización Internacional de Normalización

La norma 27001 considera la información como un activo de una empresa y desempeña un papel clave en la supervivencia y el desarrollo de la empresa, especialmente en la era de la economía del conocimiento y la información electrónica. Garantizar la información La seguridad es muy necesaria. Según una estadística británica, el 80% de la pérdida de información está relacionada con factores humanos. Por lo tanto, prevenir los riesgos de la información causados ​​por factores humanos se considera el principal objeto de control de la seguridad de la información.

La seguridad de la información se logra implementando un conjunto adecuado de controles. Puede lograrse a través de políticas, prácticas, procedimientos, estructuras organizativas y capacidades de software. Estos controles deben identificarse para garantizar que se logren los objetivos de seguridad específicos de la organización.

En tercer lugar, la importancia de la seguridad de la información

La información y sus sistemas y redes de soporte son activos importantes de la organización. La confidencialidad, la integridad y la disponibilidad de la información son importantes para mantener la ventaja competitiva, el flujo financiero, la eficiencia, el cumplimiento legal y la imagen empresarial de una organización.

Cualquier organización y sus sistemas de información (como el sistema ERP de la organización) y sus redes pueden enfrentarse a una variedad de amenazas a la seguridad, incluyendo fraude asistido por computadora, espionaje, sabotaje, incendios, inundaciones, etc. Con el desarrollo y la popularización de las computadoras, los virus informáticos, las intrusiones ilegales y los daños a computadoras y servidores se han vuelto cada vez más comunes y complejos.

En la actualidad, algunas organizaciones, especialmente algunas grandes empresas, han confiado completamente en los sistemas de información para la producción y la gestión empresarial, lo que hace que las organizaciones sean más vulnerables a las amenazas a la seguridad. La interconexión de la red interna de la organización y el disfrute de los recursos de información aumentan la dificultad de implementar el control de acceso.

Aunque los sistemas de información de algunas organizaciones pueden diseñarse teniendo en cuenta la seguridad, todavía se limitan a depender de medios técnicos para lograr la seguridad. También deben estar respaldados por la gestión y los procedimientos.

4. El establecimiento de un sistema de gestión de seguridad de la información es de gran importancia para cualquier organización.

No importa cuánto trabaje una organización en tecnología de la información y adopte nuevas tecnologías de seguridad de la información, en realidad todavía existen lagunas en la gestión de la seguridad de la información, como:

1. Foro de administración, la orientación de seguridad no está clara y el apoyo de la administración no está claro;

2. Falta de un mecanismo de coordinación de seguridad de la información entre departamentos;

3. los procesos de seguridad no están claros Claro;

4. Los empleados tienen una conciencia débil sobre la seguridad de la información y falta de conciencia sobre la prevención, lo que facilita que personas externas ingresen directamente a la producción y los lugares de trabajo;

5. El sistema de gestión del sistema de información de la organización no es lo suficientemente perfecto;

6. Existen peligros ocultos en la seguridad de la sala principal del sistema de información de la organización, como problemas con las instalaciones de protección contra incendios y está en el mismo edificio de oficinas que el almacén de mercancías peligrosas;

7. Todavía falta equipo de respaldo para el sistema de información de la organización

8. Organizar la seguridad del sistema de información para evitar una tecnología insuficiente; inversión;

9. Falta de protección de la propiedad intelectual del software;

? 10. Falta de precauciones físicas como salas de ordenadores y espacios de oficina;

? 11. Falta de un lugar de almacenamiento confiable para documentos y registros;

? 12. Falta de medidas y planes para asegurar la continuidad de la producción y las operaciones en caso de accidente... y así sucesivamente;

Las vulnerabilidades de gestión de la información mencionadas anteriormente y los diversos incidentes de seguridad de la información que a menudo se informan en la prensa indican que cualquier organización necesita con urgencia establecer un sistema de gestión de seguridad de la información para proteger su tecnología y secretos comerciales y garantizar la integridad de la información. . confiabilidad y disponibilidad y, en última instancia, mantener la continuidad de sus actividades productivas y comerciales.

El significado del verbo (abreviatura del verbo) para establecer un sistema de gestión de seguridad de la información

Las organizaciones pueden consultar el modelo de gestión de seguridad de la información y establecer un sistema completo de gestión de seguridad de la información de acuerdo con estándares avanzados de gestión de seguridad de la información e implementarlo y mantenerlo para lograr un modelo de gestión de seguridad de la información dinámico, sistemático, de plena participación, institucionalizado y orientado a la prevención, reducir la probabilidad y las consecuencias de los riesgos de la información a un nivel aceptable al menor costo, y Tome medidas para garantizar que el negocio no se vea interrumpido si se produce el riesgo. El establecimiento, implementación y mantenimiento del sistema de gestión de seguridad de la información por parte de la organización:

1. Fortalecerá la conciencia de seguridad de la información de los empleados y estandarizará el comportamiento de seguridad de la información de la organización;

2. proteger la seguridad de la información de la organización Activos de información clave para mantener la ventaja competitiva;

3. Cuando el sistema de información es atacado, garantizar que el negocio continúe y minimizar las pérdidas;

? 4. Permitir que los socios comerciales y clientes de la organización tengan confianza en la organización.

?