信息安全认证,顾名思义就是用来保障信息安全的一种方式。随着信息技术的不断发展、应用和普及,人们的信息安全意识也不断加强,对信息安全的重视程度也越来越高。
目前国际上普遍采用的信息安全认证主要有3种:ISO27001系列标准、ISO20000标准以及CMM2标准。其中,ISO27001:2004是化组织(ISO)颁布的一项信息技术安全性管理规范。
1、ISO27001:2004:
该规范由美国国家标准协会于2005年12月15日发布,2005年12月16日正式实施。主要从以下4个方面进行要求:
1)保护范围;
2)风险评估;
3)管理措施;
4)控制过程。
适用于IT系统的开发、运行和维护活动及其相关的服务提供者(包括硬件设备制造商和软件开发商),也适用于任何使用或依赖计算机信息系统支持业务活动的组织或个人。
主要作用在于通过建立系统安全架构来保护用户的信息资源及数据不受未经授权访问或破坏等危害,同时帮助企业识别潜在的安全威胁并制定有效的应对策略以降低风险发生的可能性和减少损失的发生率。适用范围主要包括以下5大类:
1)服务器类IT产品:
包括服务器、存储介质等;
2)网络类IT产品:
包括路由器、交换机等网络设备和其他通信线路设施等; 通讯类产品如电话机等其他通讯工具;网络监控类产品如摄像头等产品等等.这些产品通常用于连接不同的计算机系统或其他电子电器设备。
3)办公自动化设备:
办公自动化设备是指应用于办公室内各种现代化办公设备和仪器仪表的总称.将此类产品定义为基于计算机的电子设备,即这类产品的功能主要是辅助使用者完成一些日常事务性的操作和管理等工作.例如打印机与复印机的使用都属于这一类.这类产品的设计必须满足一定的安全需求才能保证使用的安全.规定这类设备的安装位置应远离电磁干扰源并符合相关防护等级的要求.(对于其他类型的非电脑化办公用品,《规范>中并未作明确的规定)。
4)移动计算平台:
移动计算平台指利用移动通信技术进行远程控制的计算机系统.《规则>中将这种类型的产品定义为可移动的计算平台.移动计算平台的种类众多.便携式个人电脑、PDA、笔记本电脑等都是常见的移动计算平台。
5)其它电子产品:
除以上所述的几种以外,《规则>还对其它种类的电子产品作了定义:具有类似功能的电子设备(例如传真机)、家用视频录像机等。