從大閱兵中的信息支援方隊看信息安全的重要性

昨日，在朱日和基地舉行的建軍90周年的閱兵中，其中有個方陣很特殊，是纖細支援方隊，成立於2015年底，是新成立的信息安全保障部隊，他們的主要任務是保障軍隊的信息安全，維護國家安全，防治絕密信息被竊取。

那麼，國家都開始這麼重視信息安全了，我們生活中，企業也應該開始重視起來了。對於企業來說，信息安全日漸重要，包括：實體安全、運行安全、信息資產安全和人員安全等內容。企業的正常運作離不開信息資源的支持，包括企業的經營計劃、知識產權、生產工藝、流程配方、方案圖紙、客戶資源以及各種重要數據等，而根據調查顯示只有五分之一的公司沒有經歷過信息泄密的事實，企業信息關乎著企業的生存與發展，企業的重要信息一旦被泄露會使企業頓失市場競爭優勢，甚至會遭受滅頂之災，之前老乾媽的員工泄密事件已經敲響了信息安全的警鐘，現在日益發展的信息化社會，信息的安全的嚴峻性已經越來越嚴重。

對於企業來說，信息安全主要是通過體系來進行保障，一般的涉及電信、保險、銀行、數據處理中心、IC製造和軟體外包等的企業，都會去做信息安全管理體系，但是事實上是信息安全對每個企業或組織來說都是需要的，所以信息安全管理體系認證具有普遍的適用性，不受地域、產業類別和公司規模限制。那麼信息安全管理體系是什麼呢？信息安全管理體系是組織在整體或特定範圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系，遵循PDCA循環原則，

計劃（Plan）——根據風險評估結果、法律法規要求、組織業務運作自身需要來確定控制目標與控制措施；

實施（Do）——實施所選的安全控制措施；

檢查（Check）——依據策略、程序、標準和法律法規，對安全措施的實施情況進行符合性檢查。

改進（Action）——根據ISMS審核、管理評審的結果及其他相關信息，採取糾正和預防措施，實現ISMS的持繼改進。

作為目前國際上具有代表性的信息安全管理體系，ISO 27001已在世界各地的政府機構、銀行、證券、保險公司、電信運營商、網路公司及許多跨國公司得到了廣泛應用，該標準重新定義了對信息安全管理體系(ISMS) 的要求，旨在幫助企業確保有足夠並具有針對性的安全控制選擇。通過信息安全管理體系的建立、運行和改進，可以進一步規範企業相關的信息管理工作，從而確保企業雲計算服務的安全問題。

通過實施ISO27001信息安全管理體系，將為企業帶來多方面的益處：包括證明企業內部控制具備獨立保障，並滿足公司信息管理管理和業務連續性要求；獨立證明已遵守各項適用法律法規；通過滿足合同要求以提供競爭優勢，並向客戶展示其雲計算安全已受到保護；在使信息安全流程、程序和文件材料正式化的同時，能夠獨立地證明您的雲服務相關風險已得到妥善識別、評估和管理；證明高級管理層對其信息安全的承諾；定期的評估流程有助於不斷監控企業的績效並最終得到改善。

信息安全，大公司已經在路上了，阿里巴巴的釘釘軟體界面進去就是通過ISO27001認證，讓用戶知道，自己的個人信息能夠得到保護，信息安全管理，大家都應該開始重視起來了。