cobit在企业信息安全管理中的应用实践_信息安全_基础信息化_9

cobit在企业信息安全管理中的应用实践_信息安全_基础信息化_9

ID:10781008

大小:72.50 KB

页数:13页

时间:2018-07-08

cobit在企业信息安全管理中的应用实践_信息安全_基础信息化_9_第1页
cobit在企业信息安全管理中的应用实践_信息安全_基础信息化_9_第2页
cobit在企业信息安全管理中的应用实践_信息安全_基础信息化_9_第3页
cobit在企业信息安全管理中的应用实践_信息安全_基础信息化_9_第4页
cobit在企业信息安全管理中的应用实践_信息安全_基础信息化_9_第5页
资源描述:

《cobit在企业信息安全管理中的应用实践_信息安全_基础信息化_9》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、COBIT在企业信息安全管理中的应用实践_信息安全_基础信息化警诰放抚液捐嘟陷锢垓  引言祷至濉寄搠淇炸姿酮拂  随着信息技术的不断发展和广泛应用,信息已成为政府机构及商业组织保持竞争力和业务持续运营的重要资产。然而信息正面临着来自各方面越来越多的威胁,如何保障信息安全已经成为亟待解决的关键问题。僧眷气哺忱冷抻檑竭缟  目前企业解决信息安全问题的常见方式:发现问题-->进行安全项目投资-->寻找产品-->制定方案-->产品实施,这种头痛医头脚痛医脚的方式很快便暴露其弊端。随着业务系统的发展和多样性安全需

2、求的提出,就会出现产品兼容问题、集成问题、扩展问题、管理问题等,难以支持业务发展,安全状况并没有得到明显改善。苤袜伟邶阀匮蜉矢客皓  随着信息安全技术和理论的发展,已经逐步形成了一个共识:信息安全问题是一个动态的、整体的、持续性的问题。基于以上共识,出于从最大程度上提高信息系统整体安全的水平和预防安全事件发生的角度来考虑,信息系统安全建设不能仅仅局限于若干安全产品的简单意义上的集成,企业迫切需要的是“需求导向”的安全管理,从技术、人员和流程三个方面构建完善的信息安全管理体系。本文针对企业具体的信息安全管

3、理问题,结合信息安全管理体系的标准,研究如何将信息安全管理体系标准,经过裁减和筛选,将其应用于具体的实践过程中。戛伊订猪送协障陇蜣属  1、企业信息安全及其基本特征瓤犄芽给览硼艟姓姐疠  企业信息安全是和企业发展的战略密切相关的,对企业决策层而言,企业的信息安全与股东利益和业务目标的实现高度相关。因此,信息安全管理是一个全局的问题,必须站在战略的角度来考虑。同时,企业的信息安全又是和业务紧密联系的,是一个管理与技术结合的问题。因此,要在综合评价业务的成熟度、信息的敏感性、信息的重要性以及信息价值的基础上

4、,来制定和实施企业信息安全管理策略。通常从三个层面讨论企业的信息安全问题:蝓纸遐詈燎濒贱搪淙燠  (1)管理层研究企业信息安全管理的目标、任务和对象,制定有效的策略、运作计划和执行规程。鹾寥肯彐猿费监芳醐眼  (2)技术层研究业务权限设置、信息资产分类和保护,以及安全应用系统的设计、实施和维护。犀苡透苫嶷把第酷邛卩  (3)操作层从组织上设置安全控制点、建立员工的职责和权限、以及定期检查和监控。基础设施上要考虑自然灾害、地点选择、毗邻威胁等。挠獯舍钡樟坶籴诏狻统  2、信息安全管理体系标准和COBIT涛

5、僵荡妮歧恼侧氽譬鸪  建设企业的信息安全管理体系需要遵循一定的程序,并以行业内已经确立的最佳实践经验作为行动的指导和参考。目前国际上公认的信息安全管理方面的标准如ISO/IEC17799、COBIT、SysTrust、COSO等给企业的实践提供了非常全面的安全控制目标。当前有可用的两种控制模型:业务控制模型(如COSO)和信息技术控制模型(ISO/IEC17799)。COBIT(信息及相关技术的控制目标)是连接这两者的桥梁,是通过研究支持业务目标所需信息,以及被信息技术流程管理的、由信息技术相关的应用工

6、具所产生的信息,来实现对信息和信息技术的控制。募诈枰器樘舭慌匙掠伢  COBIT由信息系统审计和控制委员会与IT治理协会开发和推广,是IT治理的一个开放性标准,目前已成为国际上公认的最先进、权威的安全与信息技术管理和控制的标准之一。该标准为IT的治理、安全与控制提供了一个一般适用的公认的标准,以辅助管理层进行IT治理。屐役闺炬紊瞪僭愆淘蜘  COBIT把IT治理分成4个领域(规划与组织、采集与实施、交付与支持、监控),共计34个IT业务流程以及318个详细控制目标。此外对每个过程提供了评审工具。局迩哝禺

7、森儿暴补榱镒  其中与信息安全直接密切相关的三个业务流程是:(1)规划与组织流程9(风险评估);(2)交付与支持流程4(确保服务的持续性);(3)交付与支持流程5(确保系统安全)。辖臀幡囝骇蒺厦疟栉现  COBIT作为IT治理领域全球公认的辅助工具,具有较强的普适性,对于具体的企业应用,应根据具体的业务特点对标准进行剪裁,制定出最适合的实施方案,然后持续改善,这样才能保证企业信息安全控制体系保持一个持续、良性和健康的发展状态。挈擞遗污廊妇丘适趾鲋  3、企业信息安全管理所面临的问题烀侗脬晗愉仲阊磊嵋穰 

8、 当前企业在信息安全管理中普遍面临的问题:(1)缺乏来自法律规范的推动力和约束。(2)安全管理缺乏系统管理的思想。被动应付多于主动防御,没有做前期的预防,而是出现问题才去想补救的办法,不是建立在风险评估基础上的动态的持续改进的管理方法。(3)重视安全技术,忽视安全管理。企业愿意在防火墙等安全技术上投资,而相应的管理水平、手段没有体现,包括管理的技术和流程,以及员工的管理。(4)在安全管理中不够重视人的因素。(5)缺乏懂得管理的信息安全技术人

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。