【宏儒顾问】为什么要进行ISMS认证
根据CSI/FBI的Computer Crime and Security Survey2005中的统计, 65%的组织至少发生了一次信息安全事故,而在这份报告中同时表明有97%的组织部署了防火墙,96%组织部署了杀毒软件。可见,我们的信息安全手段并不奏效,信息安全现状不容乐观。
实际上,只有在宏观层次上实施了良好的信息安全管理,即采用国际上公认的最佳实践或规则集等,才能使微观层次上的安全,如物理措施等,实现其恰当的作用。采用ISMS标准并得到认证无疑是组织应该考虑的方案之一。
1) 预防信息安全事故,保证组织业务的连续性,使组织的重要信息资产受到与其价值相符的保护,包括防范:
重要的商业秘密信息的泄漏、丢失、篡改和不可用;
重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断;
2) 节省费用。一个好的ISMS不仅可通过避免安全事故而使组织节省费用,而且也能帮助组织合理筹划信息安全费用支出,包括:
依据信息资产的风险级别,安排安全控制措施的投资优先级;
对于可接受的信息资产的风险,不投资安全控制;
3) 保持组织良好的竞争力和成功运作的状态,提高在公众中的形象和声誉,最大限度的增加投资回报和商业机会;
4) 增强客户、合作伙伴等相关方的信任和信心
***
***
***
***
***
***
***
***
***
***