信息安全管理标准及综合应用_第1页
信息安全管理标准及综合应用_第2页
信息安全管理标准及综合应用_第3页
信息安全管理标准及综合应用_第4页
信息安全管理标准及综合应用_第5页
已阅读5页,还剩1页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、信息平安管理标准及综合应用摘要:人们对信息网络的依赖日益增强,信息平安管理成了严重的问题。信息平安管理是一个复杂的系统工程必须遵循一定的标准。文章介绍了国内外主要的信息平安管理相关标准的内容和开展,并对其进展比拟;描绘了综合应用几种主要标准进展信息平安管理的过程和方法;得出了信息平安管理标准的合理应用,要开掘组织(政府或企业)的真正需求,结合组织战略,对现有标准进展整合,综合应用,才能获得良好效果的结论。关键词:信息平安管理;标准;应用一、引言随着inteet应用的不断深化和电子商务、电子政务的不赠f开展,人们在日常生活、经济、军事、科技与教育等各个领域,对信息和信息系统依赖日益增强。然而,平

2、安一直是信息系统面临的严重问题。早期,信息平安关注于技术方面,如:加密算法、访问控制、入侵检测等,最近,信息平安的风险管理,信息系统资金方面的经济因素越来越多受到e、l、is、f的关注。甚至,对信息平安管理的关注超出了对信息平安技术的关注。信息平安管理是和组织战略,组织文化,组织的高层管理和基层管理都有亲密关系,是目前信息平安领域里最热门的话题之一。在这样的背景下,信息平安管理的标准越来越受到国际和国内的重视。信息平安绝对不仅仅是技术的问题,它的解决涉及到规章制度、组织运行、技术应用等方方面面,任何单方面平安的措施都不可能提供真正的全方位的平安,信息平安问题的解决更应该站在系统工程的角度来考虑

3、。在这项系统工程中,信息平安管理占有重要的地位,信息平安管理体系标准确实立是信息平安管理的根底和前提。二、信息平安管理概述信息平安是一个多层次、多因素、综合的动态过程,要求对信息系统和组织体系进展综合考虑和统一规划,同时要注意监控系统内外环境的变化,很可能某一环节上的平安缺陷就会对整个系统组织构成威胁。美国国家标准技术组织,提出了信息平安由各种技术和非技术的要素连接在一起组成平安链的概念,攻击者往往从最薄弱的环节打破如。因此信息平安是一个多层面、多因素、综合的动态过程,是一个需要系统体系来保证的持续开展过程。假如凭一时的需要,对某些方面加强控制,而没有整体全面的考虑,都难免存在顾此失彼的问题,

4、使信息平安链在某个薄弱环节断裂。所以,信息平安管理是,用于指导、管理和控制信息平安风险的、一系列互相协调的活动,要尽可能做到,应用有限的资源,保证平安“滴水不漏。三、信息平安管理标准介绍拥有全面的信息平安管理,政府和企业可以采用有效的机制,合理利用信息资源,管理与信息相关的风险,使得信息系统可以保持与战略目的一致,推动业务开展。合理地应用信息平安管理体系标准可以有效进步信息平安管理程度,满足组织对信息系统应用的高效、优质、可信和平安的需求,全面进步组织的综合竞争才能。在信息平安管理领域各国的专家、各种的机构,根据不同的方面平安管理的需求制定了众多标准,下面介绍其中比拟典型的标准。1标准。199

5、3年6月,美国、加拿大及欧洲4国协商同意起草信息技术平安评估公共标准ltse(nfitedafinfratintehnialseurityevaluatin),简称(1siel54081),是国际标准化组织统一现有多种准那么的结果。1998年经90认可成为国际标准(isie15408)。源于tse,但完全改良了tse,的主要思想和框架都取自itse(欧)和f(美)。标准,一方面可以支持产品(最终已在系统中安装的产品)中平安特征的技术性评估,另一方面描绘了用户对平安性的技术需求。然而,没有包括对物理平安、行政管理措施、密码机制要方面的评估,且仍然未能表达动态的平安要求。因此标准主要还是一套技术标

6、准。2bs-7799标准。bs7799标准是由英国标准协会(bsl)制定的信息平安管理标准,是国际上具有代表性的信息平安管理体系标准,包括:bs77991:1999(信息平安管理施行细那么)是组织建立并施行信息平安管理体系的一个指导性的准那么,bs7799-2:2002以bs77991:1999为指南,详细说明按照pda模型,建立、施行及文件化信息平安管理体系(1ss)的要求。isiel7799-2:2022年第2版的改版中,最主要的变动是以层次构造化形式提供:信息平安策略、信息平安的组织构造、资产管理、人力资源平安、物理和环境平安、通信和运行管理、访问控制、信息系统采购、开发和维护、信息平安

7、事故管理、业务持续性管理、符合性这11个平安控制章节,还有39个主要平安类和133个详细控制措施,以标准组织机构信息平安管理建立的内容。3bit标准。美国信息系统审计与控制协会isaa协会的bit管理标准,是一个比拟完好的it审计和治理的框架,它为建立完善的信息系统控制和审计体系,提供了详细的控制目的、施行方法和审计指南等。2022年,已更新为第四版。新版本的bit更加关注组织战略和效果评估,从4个方面:p(planningrganizatin)、ai(aquisitinipleentatin)、ds(deliverysupprt)和e(nitringevaluatin)对信息系统进展管理和控

8、制,可进一步细分为34个管理流程。4itil标准。该标准由由英国政府部门ta于20世纪80年代末制订,2001年英国国家标准协会(bsi)正式发布了基于itil的标准bsl5000,2002年此标准为国际标准化组织(is)所承受。其内容描绘的是,it部门应该包含的各个工作流程以及各个工作流程之间的互相关系。itil提供了以效劳支持和效劳提供为核心的、包括规划施行效劳管理、业务视野、it根底设施管理、平安管理和应用管理7个模块在内的标准化信息技术效劳。在itil框架中,平安管理,作为组织机构进展it效劳的一个组成局部,专门进展了讨论。因此,信息平安管理是itil框架的一个有机组成局部,它对标准化

9、信息技术效劳、保障信息技术效劳有重要的意义。5isiel3335标准。这套标准提供了平安管理的根本概念、模型以及风险管理理论等内容,它可以用于指导如何实现it平安管理。isiel3335标准由5个系列标准组成:isiel33351:2022?it平安的概念与模型?;isiel33352:1997(it平安管理与筹划?;isiel33353:1998?it平安管理技术?;isiel33354:2000?防护措施的选择?;isiel33355:2001网络平安管理指南?。isiel3335标准关注组织的平安,对平安管理的过程和风险分析有非常细致的描绘。在平安管理理论中有参考价值。6sse标准。系统

10、平安工程一成熟度模型,sse(systeseurityeneineeringapabilityaturitydel)模型是在系统平安工程这个详细领域应用而产生的一个分支,是美国国家平安局(nsa)指导开发的,是专门用于系统平安工程的才能成熟度模型。sse第一版于1996年10月出版,1999年4月,sse模型和相应评估方法20版发布。2002年被国际标准化组织采纳成为国际标准即isie21827:2002?信息技术系统平安工程一成熟度模型?。但是需要注意的是目前sse已经更新为v30。7nist标准。美国国家标准和技术委员会(nist)负责为美国政府和商业机构提供信息平安管理相关的标准标准。目

11、前,nistsp800系列成为了指导美国信息平安管理建立的主要标准和参考资料,成为美国和国际平安界得到广泛认可的事实标准和权威指南。2022年,nistsp800系列最主要的开展是配合fis-a2002年的法案,建立以800-53等标准为核心的一系列认证和认可的标准指南。该标准,提供了平安控制的层次化、构造化的控制措施要求:意识和培训,认证、认可和平安评估,配置管理,持续性规划,事件响应,维护,介质保护,物理和环境保护,规划,人员平安,风险评估,系统和效劳采购,系统和信息完好性这13个平安管理和运营控制族以及106个详细控制措施。8我国的标准。1999年9月我国参照标准公布了国家标准?计算机信

12、息系统平安保护等级划分准那么?gbl7859系列。2022年7月,国信办启动了信息平安管理相关标准的编制工作,2022年将出台新的信息平安风险管理指南)。该标准,针对信息平安风险管理所涉及的对象确立、风险评估、风险控制、审核批准、沟通咨询等不同过程进展了综合性描绘并制定了标准,对信息平安风险管理在信息系统生命周期各阶段的应用作了系统阐述。四、综合应用信息平安是一门综合的穿插学科。一套完善的信息平安管理体系,应该包括标准化的信息平安管理内容、以风险和策略为核心的控制方法、定性分析和定量度量的信息平安测评。同时,信息平安管理体系应该可以将信息平安管理同信息系统审计、信息系统内控体系、信息技术效劳体

13、系互相结合,形成有平安保障的信息系统运行维护管理体系,以真正到达保护组织机构的信息和信息资产平安,保证业务持续性要求。做好信息平安管理工作,要对组织战略、组织文化、业务流程、外部环境、技术应用展开全方位的、深度的讨论,以期重新认识it的定位、作用和价值,共同促进建立高效益的、可持续开展的信息化。作为全球公认的bs7799标准、bit标准、itil标准、13335标准、sse-标准综合应用可帮助我们做好信息平安管理工作。然而,这些标准并不是灵丹妙药,它们的应用必须与组织的实际需要相结合,才可能产生良好效果。在信息平安管理中,每个组织都需要整合一系列标准,综合应用来适应自己的需要。在管理理论中可按

14、如下步骤进展:1建立系统的框架,作为为信息平安管理的开场,明确目的、责任和对象。2将it战略和组织目的组成联盟,正确理解业务环境、风险偏好、组织战略和it建立的关系。包括:应用bit标准确定it目的;应用sse标准定义软件开发的需求;应用itil标准定义最终用户的需求。3理解和定义风险,在给定的业务目的下,明确防范哪些it风险。要理解信息系统过去和当前的状况,信息系统的规模和复杂程度,当前it环境内部的薄弱环节,信息系统的变动等。包括:应用bit标准定义风险控制;应用sse标准去除软件设计的风险;应用itil标准去除操作风险;应用is17799标准去除平安风险。4定义风险管理的目的。包括:应用

15、bit标准定义根底框架;应用sse标准定义软件消费过程;应用itil标准定义主要的效劳程序;应用is17799标准定义平安目的。5分析当前的平安才能,寻找最值得改良的地方。包括:应用bit标准做根底分析;应用sse、itil、1s017799标准做细节分析。6施行改良战略,通过关注主要的it流程和组织的核心竞争才能来确定最有效的改良措施。包括:应用-bit标准定义控制目的;应用sse、itil、is17799标准支持施行细节。7评估结果,对当前的状况和改良后的效果建立一个可量化的评估机制。从如下几方面评估信息平安管理效果:(1)信息系统是否支持组织战略?(2)信息系统风险管理的责任是否由组织相应部门承当?(3)信息系统是否能平安有效的支持关键的信息流程?(4)组织中的有关人员是否明确平安管理的规定和目的?应用bit标准:在平安管理的应用理论中重复2步7步如图。在信息平安管理的理论中,同时要注意:1信息平安管理要有明确的目的,并同组织战略相结合。2信息平安管理是一个持续循环的过程,不

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论