sulu06
发表于 2011-10-20 10:49:56
·ISO/IEC17799——信息安全管理的国际标准。在信息时代,信息资产已经成为最有价值的资产,因此需要恰当地保护它。具体而言,通过信息安全管理,可以保护信息不受广泛威胁地损害,确保业务的持续性,将商业损失降至最小,使投资收益最大并创造新的战略机遇。
1995年,英国贸工部根据英国国内企业对信息安全日益高涨的呼声,组织大企业的信息安全经理们制定了世界上首部信息安全管理体系标准BS7799-1:1995《信息安全管理实施规则》,作为企业和政府组织实施信息安全管理的指南。1998年,英国又制定了第一部《信息安全管理体系认证标准》BS7799-2:1998《信息安全管理体系规范》,作为对一个组织的全面或和部
分信息安全管理体系进行评审认证的依据标准。此后英国又进行了多次修订并提交给ISO。2000年12月,ISO/IEC正式采纳BS7799-1:1999做为国际标准ISO/IEC17799:2000。
ISO/IEC 17799包含10个管理要项,分别是:安全方针、安全组织、资产分类与控制、人员安全、物理与环境安全、计算机与网络管理、系统访问控制、系统开发与维护、业务持续管理及合规性。ISO/IEC 17799模型如图3所示。
资料来源:PWC
需要强调指出的是,ISO/IEC 17799不是一篇技术性的信息安全操作手册,作为一个通用的信息安全管理指南,其目的并不是说明有关“怎么做”的细节,它所阐述的主题是安全策略和优秀的、具有普遍意义的安全操作。该标准特别声明,它是“制定一个机构自己的标准的出发点”,并不是说它所包含的所有方针和策略都是放之四海而皆准的。作为对各类信息安全问题的高级别概述,ISO/IEC 17799有助于人们在高级管理中理解每一类信息安全主题的基础性问题。它广泛涵盖了几乎所有的安全议题,主要告诉管理者关于安全管理的注意事项和安全制度,这些规定一般单位都可执行。因此,需要建立信息安全管理体系的单位可以此为参照,建立自己在这方面的体系,并在别人经验的基础上根据自身情况进行设计、取舍,以达到对信息进行良好管理的目的。
sulu06
发表于 2011-10-20 10:50:09
·PRINCE2——受控环境下的项目(Projects IN Controlled Environments),一种对项目管理的某些特定方面提供支持的方法。
项目管理向来就是一个充满挑战的管理,管理人员必须在事先确定好的人力、物力、财力、时间基础上产出预期质量的项目结果。项目管理中的失控一直就是官、产、学界关心的热点问题。
早在20世纪70年代,英国政府就要求所有政府的信息系统项目必须采用统一的标准进行管理。1979年CCTA采纳Simpact Systems公司开发的PROMPT项目管理方法作为政府信息系统
项目的项目管理方法。在PROMPT项目管理方法的基础上,20世纪80年代年英国政府计算机和电信中心(CCTA)(后来并入英国政府商务部(OGC))出资研究开发PRINCE,1989年PRINCE正式替代PROMPT成为英国政府IT项目的管理标准。1993年,OGC又将注意力转移到PRINCE新改版PRINCE2的开发。通过整合现有用户的需求,同时提升该方法成为面向所有类型的项目的、通用的、最佳实践的项目管理方法。在OGC的组织下,大量项目管理的专家和学者组成设计和开发团队,超过150家公共和私人组织参加评审委员会,并为开发工作提供有价值的反馈意见。开发工作于1996年3月正式结束。
PRINCE2是基于过程(Process-Based)的结构化的项目管理方法,适合于所有类型项目(不管项目的大小和领域,不再局限于IT项目)的易于剪裁和灵活使用的管理方法。每个过程定义关键输入、需要执行的关键活动和特殊的输出目标。
该方法描述了一个项目如何被切分成一些可供管理的阶段,以便高效地控制资源的使用和在整个项目周期执行常规的监督流程。依据项目的大小、复杂度和组织的能力,该方法描述了项目中应涉及到的各种不同的角色及其相应的管理职责。Prince2的项目计划是以产品导向的,也就是说项目计划强调项目按预期交付结果,而不是简简单单计划在何时该做何事。
一个PRINCE2项目由业务状况(Business Case)进行驱动,业务状况用于描述启动和继续一个PRINCE 项目的信息。它给出了项目的动机,且回答了“ 为什么”。它在整个项目的若干关键点处被更新。业务状况往往和项目进度相结合,来确保项目目标的实现,尽管这些项目目标可能在整个项目周期中会有所变化,但仍能很好地被满足。
PRINCE2提供从项目开始到项目结束覆盖整个项目生命周期的基于过程的结构化的项目管理方法,共包括8个过程,每个过程描述了项目为何重要(Why)、项目的预期目标何在(What)、项目活动由谁负责(Who)以及这些活动何时被执行(When)。如图4所示。
资料来源:OGC
PRINCE2为管理项目提供了最本质的原理,它集中于项目管理的战略层次,同时它是一种通用的架构。它用8个过程(其中6个过程为项目管理的流程,指导项目(DP)与计划(PL)在项目整个生命周期中支持其他6个流程)指明项目管理应该做什么,但是没有描述如何做?至于如何做?企业应求助于咨询公司或其他公司的案例,然后结合自身的情况。对于每个过程,PRINCE没有提供具体实现技术和工具,用户可根据实际需要,使用有益的任何工具,如甘特图,关键路径法、项目管理软件等。PRINCE2提供的8个过程也仅仅作为参考过程,企业在具体实施时,必须依据项目的规模和需要对这些过程进行剪裁。
sulu06
发表于 2011-10-20 10:50:22
以下开始讨论四者的关系
sulu06
发表于 2011-10-20 10:50:34
哪个标准更好? 有趣的是,关于四个标准之间的对照研究似乎成了许多国际组织热衷的研究项目,我们认为与其研究这四者之间并不太多的重叠之处,倒不如深入探讨这四者之间的互补关系。
sulu06
发表于 2011-10-20 10:50:53
* COBIT和ITIL的比较 COBIT基于已有的许多架构,如SEI的能力成熟度模型(CMM)对软件企业成熟度5级的划分,以及ISO9000等标准,COBIT在总结这些标准的基础上重点关注企业需要什么,而不是企业需要如何做,它不包括具体的实施指南和实施步骤,它是一个控制架构(Control Framework)而非具体如何做的过程架构(Process Framework)。COBIT的“目标听众”是信息系统审计师,企业高级管理人员以及高级IT管理人员,如CIO。 ITIL基于企业的最佳实务(Best Practice),OGC收集和分析各种组织解决服务管理问题方面的信息,找出那些对本部门和对英国政府其它部门有益的做法,最后形成了ITIL。它列出了各个服务管理流程“最佳”的目标、活动、输入和输出以及各个流程之间的关系,但没定义范围广泛的控制架构。它关注方法和实施过程。由于它关注IT服务管理(ITSM),它的视野相对COBIT来说狭窄,但它对IT服务的提供和支持定义了更为详细和更易理解的过程集。它的“目标听众”是IT人员和服务管理人员。 尽管两个标准有着许多的不同之处,但在COBIT和ITIL背后却有着非常一致的指导原则。信息系统审计师通常综合使用COBIT和ITIL的自评估方法,去评估企业IT服务管理环境。COBIT为每一个过程提供了关键目标指标(KGIs)、关键绩效指标(KPIs)、关键成功要素(CSFs),这些指标与ITIL过程相结合,可以建立ITIL过程管理的基准。在实际应用中,某些企业综合两个标准提出了更易理解的适用于本企业环境的IT治理和运行架构。 很多COBIT的过程特别是交付与支持(DS)域的很多过程如DS1、DS3、DS4、DS8、 DS9和DS10与ITIL的过程有着很好的映射关系,如服务级别管理、成本管理、可用性管理、事故管理、问题管理、配置管理、发布管理、容量能力管理。同样AI6变更管理过程与ITIL中变更管理和其他服务支持过程如发布管理形成了较好的对应关系。(对比表1、2)