返回
信息安全管理与管理体系

信息安全管理与管理体系

ID:13542655

大小:126.00 KB

页数:5页

时间:2018-07-23

信息安全管理与管理体系_第1页
信息安全管理与管理体系_第2页
信息安全管理与管理体系_第3页
信息安全管理与管理体系_第4页
信息安全管理与管理体系_第5页
资源描述:

《信息安全管理与管理体系》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全管理与管理体系科飞管理咨询有限公司吴昌伦王毅刚  目前我国的信息安全管理主要依靠传统的管理方法和手段来实现,传统的管理模式缺乏现代的系统管理思想,而技术手段又有其局限性。保护信息安全,国际公认的、最有效的方式是采用系统的方法(管理+技术)。目前国际性标准ISO/IEC17799就是这样一套系统的信息安全管理方法。  本栏目特别邀请出版了《信息安全管理概论—BS7799理解与实施》、《BS7799和ISO/IEC17799信息安全管理体系及其认证认可相关知识问答》两书的科飞管理咨询有限公司的顾问专家,阐述运用相关国际标准实施信息安全管理体

2、系应该注意的问题。  组织的信息资产和其他资产一样对组织具有重要作用,组织为了保证这些信息资产的安全,需要付出持续的努力。在采取行动之前,需要首先理解信息安全的目标。  明确信息安全管理目标  为了保障组织信息资产的安全,为了更好的理解和便于操作,信息安全管理目标通常被分解为保持组织信息资产及其所支持业务流程的三个性质:保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。  保密性保障信息只有被授权使用的人可以访问。  完整性保护信息及其处理方法的准确性和完整性。  可用性保障授权使用人在

3、需要时可以获取信息和使用相关的资产。  各类组织,无论其规模和性质,其信息安全管理行为的目的都是为了保障组织的信息资产及其所支持业务流程的保密性、完整性和可用性。  如果把组织的信息安全管理行为作为一个过程(一组将输入转化为输出的相互关联或相互作用的活动,见ISO9000:2000《质量管理体系—基础和术语》)来看待,其输入应该是组织和其他相关方对组织信息安全管理的要求和期望,而输出应该是令组织和相关方满意的信息安全状态(见图1)。  图1:信息安全管理过程作用示意图  组织不仅需要达到满意的信息安全状态,而且要持续地保持这种状态。这要求组织建

4、立保持机制,保证组织能够不断的识别并适应自身情况和环境的变化。  应用系统方法解决系统问题  实践证明,信息安全是个复杂的系统问题,必须以系统的方法来解决。建立管理体系(建立方针和目标并实现这些目标的体系,见ISO9000:2000《质量管理体系—基础和术语》)是系统解决复杂问题的有效方法。正如同为了保证质量管理的有效性、充分性和适宜性,组织需要建立质量管理体系(QMS);为了保证信息安全管理的有效性、充分性和适宜性,组织需要建立信息安全管理体系(ISMS)。  从系统管理的观点来看,一个体系(系统)必须具有自组织、自学习、自适应、自修复、自生

5、长的能力和功能才可以保证其持续有效性。  信息安全管理体系通过不断地识别组织和相关方的信息安全要求,不断地识别外界环境和组织自身的变化,不断地学习采用新的管理理念和技术手段,不断地调整自己的目标、方针、程序和过程等,才可以实现持续的安全。  下面结合国际著名的信息安全管理体系标准BS7799-2:2002《信息安全管理体系规范》讨论信息安全管理体系的作用。  理解“过程模型”的作用  BS7799-2:2002标准的总要求是“组织应在其整体商业活动和风险范围内,建立、实施、保持并持续改进一个文件化的信息安全管理体系”。为了满足这个总要求,BS7

6、799-2:2002采用的过程模式如图2所示,也就是将过程分解为“计划-实施-检查-措施”四个阶段,通过四个阶段周而复始的循环,使体系得到保持和改进。这个过程模式不仅可以像图2那样用于信息安全管理体系的整体过程,同样可以应用于体系所涵盖的任何其他过程及其子过程,例如信息安全风险评估或者商务持续性计划的安排等过程。  图2:PDCA过程模式  策划阶段要保证信息安全管理体系的范围和环境得到建立,信息安全风险合理评估并针对风险制定了可行、有效的风险处理计划。  实施阶段就是执行策划阶段的决定和方案,配备相应的资源,进行必要的培训,保持策划的信息安全

7、管理文件,在组织内形成适当的风险和安全文化,获得所有相关方的支持。  检查阶段目的是确认控制方法按既定的目的行之有效,发现改进的机会,认识到纠正措施只是必需的。BS7799-2:2002附录B中提供了几个检查的实例,包括:例行检查、自查程序、向其他人学习、审核和管理评审等。很多计算机系统可以做到自动审核,联动响应机制几乎可以做到即时审核、即时响应。当然标准还要求组织有其他的响应安排,例如响应安全失效事件、所保护信息资产的重要更改、新威胁或薄弱点的出现等。当然每年还必须进行至少一次的管理评审,以确保整个管理体系达到既定方针目标。  措施阶段不仅需

8、要根据检查的结果采取纠正措施,重要的是以长远的眼光观察和解决问题,确保工作不仅致力于目前的问题,而且还要预防或降低类似事故再发生的可能性,这应成为持续

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。