《信息安全管理标准及综合应用(1)5300字》由会员分享,可在线阅读,更多相关《信息安全管理标准及综合应用(1)5300字(2页珍藏版)》请在装配图网上搜索。
1、信息安全管理标准及综合应用(1)5300字 摘要:人们对信息网络的依赖日益增强,信息安全管理成了严重的问题。信息安全管理是一个复杂的系统工程必须遵循一定的标准。文章介绍了国内外主要的信息安全管理相关标准的内容和发展,并对其进行比较;描述了综合应用几种主要标准进行信息安全管理的过程和方法;得出了信息安全管理标准的合理应用,要发掘组织(政府或企业)的真正需求,结合组织战略,对现有标准进行整合,综合应用,才能取得良好效果的结论。 作文 /关键词:信息安全管理;标准;应用 一、引言 随着Intemet应用的不断深入和电子商务、电子政务的不赠f发展,人们在日常生活、经济、军事、科技与教育等各个领域,对信
2、息和信息系统依赖日益增强。然而,安全一直是信息系统面临的严重问题。早期,信息安全关注于技术方面,如:加密算法、访问控制、入侵检测等,最近,信息安全的风险管理,信息系统资金方面的经济因素越来越多受到CEO、ClO、CISO、CFO的关注。甚至,对信息安全管理的关注超出了对信息安全技术的关注。信息安全管理是和组织战略,组织文化,组织的高层管理和基层管理都有密切关系,是目前信息安全领域里最热门的话题之一。在这样的背景下,信息安全管理的标准越来越受到国际和国内的重视。 信息安全绝对不仅仅是技术的问题,它的解决涉及到规章制度、组织运行、技术应用等方方面面,任何单方面安全的措施都不可能提供真正的全方位的安
3、全,信息安全问题的解决更应该站在系统工程的角度来考虑。在这项系统工程中,信息安全管理占有重要的地位,信息安全管理体系标准的确立是信息安全管理的基础和前提。 二、信息安全管理概述 信息安全是一个多层次、多因素、综合的动态过程,要求对信息系统和组织体系进行综合思考和统一规划,同时要注意监控系统内外环境的变化,很可能某一环节上的安全缺陷就会对整个系统组织构成威胁。美国国家标准技术组织,提出了信息安全由各种技术和非技术的要素连接在一起组成安全链的概念,攻击者往往从最薄弱的环节突破如。 因而信息安全是一个多层面、多因素、综合的动态过程,是一个需要系统体系来保证的持续发展过程。如果凭一时的需要,对某些方面
4、加强控制,而没有整体全面的考虑,都难免存在顾此失彼的问题,使信息安全链在某个薄弱环节断裂。所以,信息安全管理是,用于指导、管理和控制信息安全风险的、一系列相互协调的活动,要尽可能做到,应用有限的资源,保证安全“滴水不漏”。 三、信息安全管理标准介绍 拥有全面的信息安全管理,政府和企业可以采用有效的机制,合理利用信息资源,管理与信息相关的风险,使得信息系统能够保持与战略目标一致,推动业务发展。合理地应用信息安全管理体系标准能够有效提高信息安全管理水平,满足组织对信息系统应用的高效、优质、可信和安全的需求,全面提高组织的综合竞争能力。在信息安全管理领域各国的专家、各种的机构,根据不同的方面安全管理
5、的需求制定了众多标准,下面介绍其中比较典型的标准。 作文 / 1CC标准。1993年6月,美国、加拿大及欧洲4国协商同意起草信息技术安全评估公共标准CClTSE(commoncfiteda Of information technical security evaluation),简称CC(1SOIECl54081),是国际标准化组织统一现有多种准则的结果。1998年经90认可成为国际标准(ISOIEC15408)。 CC源于TCSEC,但完全改进了TCSEC,的主要思想和框架都取自ITSEC(欧)和FC(美)。 CC标准,一方面可以支持产品(最终已在系统中安装的产品)中安全特征的技术性评估,
6、另一方面描述了用户对安全性的技术需求。然而,CC没有包括对物理安全、行政管理措施、密码机制要方面的评估,且仍然未能体现动态的安全要求。因此CC标准主要还是一套技术标准。 2BS-7799标准。BS7799标准是由英国标准协会(BSl)制定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,包括:BS77991:1999(信息安全管理实施细则)是组织建立并实施信息安全管理体系的一个指导性的准则,BS7799-2:2002以BS77991:1999为指南,详细说明按照PDCA模型,建立、实施及文件化信息安全管理体系(1SMS)的要求。 ISOIECl7799-2:2005年第2版的改版中
7、,最主要的变动是以层次结构化形式提供:信息安全策略、信息安全的组织结构、资产管理、人力资源安全、物理和环境安全、通信和运行管理、访问控制、信息系统采购、开发和维护、信息安全事故管理、业务持续性管理、符合性这11个安全控制章节,还有39个主要安全类和133个具体控制措施,以规范组织机构信息安全管理建设的内容。 / 3COBIT标准。美国信息系统审计与控制协会ISACA协会的COBIT管理标准,是一个比较完整的IT审计和治理的框架,它为建立完善的信息系统控制和审计体系,提供了详细的控制目标、实施办法和审计指南等。2005年,已更新为第四版。 新版本的COBIT更加关注组织战略和效果评估,从4个方面
8、:PO(PlanningOrganization)、AI(AcquisitionImplementation)、DS(DeliverySupport)和ME(MonitoringEvaluation)对信息系统进行管理和控制,可进一步细分为34个管理流程。 4ITIL标准。该标准由由英国政府部门CCTA于20世纪80年代末制订,2001年英国国家标准协会(BSI)正式发布了基于ITIL的标准BSl5000,2002年此标准为国际标准化组织(ISO)所接受。 其内容描述的是,IT部门应该包含的各个工作流程以及各个工作流程之间的相互关系。ITIL提供了以服务支持和服务提供为核心的、包括规划实施服务
9、管理、业务视野、ICT基础设施管理、安全管理和应用管理7个模块在内的规范化信息技术服务。 在ITIL框架中,安全管理,作为组织机构进行IT服务的一个组成部分,专门进行了讨论。因此,信息安全管理是ITIL框架的一个有机组成部分,它对规范化信息技术服务、保障信息技术服务有重要的意义。 / 5ISOIECl3335标准。这套标准提供了安全管理的基本概念、模型以及风险管理实践等内容,它可以用于指导如何实现IT安全管理。ISOIECl3335标准由5个系列标准组成:ISOIECl33351:2004IT安全的概念与模型;ISOIECl33352:1997(IT安全管理与策划;ISOIECl33353:1998IT安全管理技术;ISOIECl33354:2000防护措施的选择;ISOIECl33355:2001
信息安全管理标准及综合应用(1)5300字
