本帖最后由 adminlily 于 2018-8-25 16:10 编辑
信息安全是通过维护信息的C、I、A,来管理和保护组织所有的信息资产的一项体制。信息安全管理是指依据相关信息安全管理标准,提供管理程序、技术和保证措施,使业务管理者确信业务交易的可信性;确保信息技术服务的可用性,能适当地防御不正当操作、蓄意攻击或者自然灾害,并从这些故障中尽快恢复;确保拒绝未经授权的访问。信息安全管理一般包括制定信息安全政策、风险评估、控制目标与方式选择、制定规范的操作流程、对员工进行安全意识培训等一系列工作。通过在安全策略、安全组织、资产管理、人员安全、物理与环境安全、通信与运营安全、访问控制、系统获得开发与维护、信息安全事故管理、业务持续性管理、符合法律法规要求等十一个领域内建立管理控制措施,为组织建立起一张完备的信息安全“保护网”,保证组织信息资产的安全与业务的连续性。
信息安全管理体系是一项非常重要的保障。信息安全体系的建立是以风险评估为提前,以风险管理为基础,在此之上形成一整套文件化的管理制度,包括手册、策略、程序文件,操作手册,记录等。isms的建立可以加强内部管理的要求,提高员工信息安全意识;实现安全可靠的信息平台,保证客户信息的安全;增强组织抵御灾难性事件的能力,保持业务可持续发展。信息安全管理体系采用PDCA循环的模式,它是一个系统化、程序化和文件化的管理体系,基于系统、全面、科学的安全风险评估,体现预防控制为主的思想,强调全过程和动态控制,本着控制费用与风险平衡的原则,将关键信息资产的风险降低到组织可以承受的水平,确保所有重要信息的安全性。
信息安全管理标准简介
BS7799标准是由英国标准协会制定的,国际公认针对信息安全管理的一套国际标准。它分为两个部分,BS7799-1和BS7799-2,前者是实施细则,被颁布为国际标准ISO/IEC17799:2005《信息技术-信息安全管理实施细则》;后者是认证标准,被颁布为ISO/IEC 27001:2005 《信息科技-安全技术-信息安全管理体系规范》, BS7799已经发展成为一套以风险管理为基础的信息安全管理体系。ISO/IEC17799主要内容共包含了十一个管理方面,三十九个管理目标,一百三十三个控制措施。ISO/IEC27001描述了信息安全管理要素:风险评估和风险管理、安全管理框架、信息安全管理体系维护和持续改进。大量的实践证明,ISO/IEC17799和ISO/IEC27001提倡了一套先进的信息安全管理理念,以“体系文件规范实施要点”的方式,引导组织实施有效的信息安全管理。
2005年,ISO发布了新版的信息安全管理实施细则,即ISO/IEC17799-2005,对2000年版的标准进行了修订,更加注重标准的通用性和实用性。实施证明:ISO/IEC17799关于信息安全策略,资产管理,薄弱点、故障、事故的管理,业务连续性管理方面都为组织提供了很好的实践指南。实施信息安全管理体系的组织在树立了风险管理的理念后,不论在组织的IT治理还是信息系统安全性上都有显著的提升。
从根本上讲,ISO/IEC17799标准是针对企业整体的安全管理体系。实施中类似于ISO9000系列,通过质量手册(ISMS手册)、程序文件、管理记录的方式实施。但该标准中并未对适用于信息安全的风险评估方法和管理方法做具体的描述。
在信息安全管理体系中所要求的风险评估中,目前大都依据国际、国内的风险评估标准、方法,如我国国家标准《信息安全风险评估指南》、《信息安全风险管理指南》(报批稿),美国的《NIST SP800-30 Risk Management Guide for Information Technology Systems , National Institute of Standards and Technology》、《OCTAVE 2.0,Operationally Critical Threat,Asset and Vulnerability Evaluation Framework, TECHNICAL REPORT, CMU/SEI-2001》等。
|