企业战略信息安全管理标准及综合应用.doc
《企业战略信息安全管理标准及综合应用.doc》由会员分享,可在线阅读,更多相关《企业战略信息安全管理标准及综合应用.doc(13页珍藏版)》请在咨信网上搜索。
1、企业战略信息安全管理标准及综合应用132020年6月23日资料内容仅供参考,如有不当或者侵权,请联系本人改正或者删除。 文档资源摘要: 人们对信息网络的依赖日益增强, 信息安全管理成了严重的问题。信息安全管理是一个复杂的系统工程必须遵循一定的标准。文章介绍了国内外主要的信息安全管理相关标准的内容和发展, 并对其进行比较; 描述了综合应用几种主要标准进行信息安全管理的过程和方法; 得出了信息安全管理标准的合理应用, 要发掘组织(政府或企业)的真正需求, 结合组织战略, 对现有标准进行整合, 综合应用, 才能取得良好效果的结论。关键词: 信息安全管理; 标准; 应用 一、 引言 随着Intemet
2、应用的不断深入和电子商务、 电子政务的不赠f发展, 人们在日常生活、 经济、 军事、 科技与教育等各个领域, 对信息和信息系统依赖日益增强。然而, 安全一直是信息系统面临的严重问题。早期, 信息安全关注于技术方面, 如: 加密算法、 访问控制、 入侵检测等, 最近, 信息安全的风险管理, 信息系统资金方面的经济因素越来越多受到CEO、 ClO、 CISO、 CFO的关注。甚至, 对信息安全管理的关注超出了对信息安全技术的关注。信息安全管理是和组织战略, 组织文化, 组织的高层管理和基层管理都有密切关系, 是当前信息安全领域里最热门的话题之一。在这样的背景下, 信息安全管理的标准越来越受到国际和
3、国内的重视。 信息安全绝对不但仅是技术的问题, 它的解决涉及到规章制度、 组织运行、 技术应用等方方面面, 任何单方面安全的措施都不可能提供真正的全方位的安全, 信息安全问题的解决更应该站在系统工程的角度来考虑。在这项系统工程中, 信息安全管理占有重要的地位, 信息安全管理体系标准的确立是信息安全管理的基础和前提。 二、 信息安全管理概述 信息安全是一个多层次、 多因素、 综合的动态过程, 要求对信息系统和组织体系进行综合思考和统一规划, 同时要注意监控系统内外环境的变化, 很可能某一环节上的安全缺陷就会对整个系统组织构成威胁。美国国家标准技术组织, 提出了信息安全由各种技术和非技术的要素连接
4、在一起组成安全链的概念, 攻击者往往从最薄弱的环节突破如。 因而信息安全是一个多层面、 多因素、 综合的动态过程, 是一个需要系统体系来保证的持续发展过程。如果凭一时的需要, 对某些方面加强控制, 而没有整体全面的考虑, 都难免存在顾此失彼的问题, 使信息安全链在某个薄弱环节断裂。因此, 信息安全管理是, 用于指导、 管理和控制信息安全风险的、 一系列相互协调的活动, 要尽可能做到, 应用有限的资源, 保证安全”滴水不漏”。 三、 信息安全管理标准介绍 拥有全面的信息安全管理, 政府和企业能够采用有效的机制, 合理利用信息资源, 管理与信息相关的风险, 使得信息系统能够保持与战略目标一致, 推
5、动业务发展。合理地应用信息安全管理体系标准能够有效提高信息安全管理水平, 满足组织对信息系统应用的高效、 优质、 可信和安全的需求, 全面提高组织的综合竞争能力。在信息安全管理领域各国的专家、 各种的机构, 根据不同的方面安全管理的需求制定了众多标准, 下面介绍其中比较典型的标准。 1CC标准。1993年6月, 美国、 加拿大及欧洲4国协商同意起草信息技术安全评估公共标准CClTSE(commoncfiteda Of information technical security evaluation), 简称CC(1SOIECl54081), 是国际标准化组织统一现有多种准则的结果。1998年
6、经90认可成为国际标准(ISOIEC15408)。 CC源于TCSEC, 但完全改进了TCSEC, 的主要思想和框架都取自ITSEC(欧)和FC(美)。 CC标准, 一方面能够支持产品(最终已在系统中安装的产品)中安全特征的技术性评估, 另一方面描述了用户对安全性的技术需求。然而, CC没有包括对物理安全、 行政管理措施、 密码机制要方面的评估, 且依然未能体现动态的安全要求。因此CC标准主要还是一套技术标准。 2BS-7799标准。BS7799标准是由英国标准协会(BSl)制定的信息安全管理标准, 是国际上具有代表性的信息安全管理体系标准, 包括: BS77991: 1999(信息安全管理实
7、施细则)是组织建立并实施信息安全管理体系的一个指导性的准则, BS7799-2: 以BS77991: 1999为指南, 详细说明按照PDCA模型, 建立、 实施及文件化信息安全管理体系(1SMS)的要求。 ISOIECl7799-2: 第2版的改版中, 最主要的变动是以层次结构化形式提供: 信息安全策略、 信息安全的组织结构、 资产管理、 人力资源安全、 物理和环境安全、 通信和运行管理、 访问控制、 信息系统采购、 开发和维护、 信息安全事故管理、 业务持续性管理、 符合性这11个安全控制章节, 还有39个主要安全类和133个具体控制措施, 以规范组织机构信息安全管理建设的内容。 3COBI
8、T标准。美国信息系统审计与控制协会ISACA协会的COBIT管理标准, 是一个比较完整的IT审计和治理的框架, 它为建立完善的信息系统控制和审计体系, 提供了详细的控制目标、 实施办法和审计指南等。 , 已更新为第四版。 新版本的COBIT更加关注组织战略和效果评估, 从4个方面: PO(Planning&Organization)、 AI(Acquisition&Implementation)、 DS(Delivery&Support)和ME(MonitoringEvaluation)对信息系统进行管理和控制, 可进一步细分为34个管理流程。 4ITIL标准。该标准由由英国政府部门CCTA于
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业战略 信息 安全管理 标准 综合 应用
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【丰****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【丰****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。