返回
信息安全管理体系的实施过程

信息安全管理体系的实施过程

ID:18493308

大小:239.00 KB

页数:11页

时间:2018-09-18

信息安全管理体系的实施过程_第1页
信息安全管理体系的实施过程_第2页
信息安全管理体系的实施过程_第3页
信息安全管理体系的实施过程_第4页
信息安全管理体系的实施过程_第5页
资源描述:

《信息安全管理体系的实施过程》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全管理体系的实施过程(1)责任编辑:admin 更新日期:2005-8-6信息安全管理体系的实施过程   一、问题的提出人类正进入信息化社会,社会发展对信息资源的依赖程度越来越大,从人们日常生活、组织运作到国家管理信息资源都是不可或缺的重要资源,没有各种信息的支持,现代社会将不能生存和发展。在信息社会中,一方面信息已成为人类重要资产,在政治、经济、军事、教育、科技、生活等方面发挥着重要作用,另一方面计算机技术的迅猛发展而带来的信息安全问题正变得日益突出,信息资产的比传统的实物资产更加脆弱,更容易受到损害,需要加以妥善保护。长期以来由于媒体报道的侧重点以及生产商的广告宣传等多种因素的影

2、响,国内公众对安全的认识被广泛误导。有相当一部分人认为黑客和病毒就已经涵盖了信息安全的一切威胁,似乎信息安全工作就是完全在与黑客与病毒打交道,全面系统的安全解决方案就是部署反病毒软件、防火墙、入侵检测系统。这种偏面的看法对一个组织实施有效的信息安全保护带来了不良影响。目前,各厂商、各标准化组织都基于各自的角度提出了各种信息安全管理的体系标准,这些基于产品、技术与管理层面的标准在某些领域得到了很好的应用,但从组织信息安全的各个角度和整个生命周期来考察,现有的信息安全管理体系与标准是不够完备的,特别是忽略了组织中最活跃的因素――人的作用。考察国内外的各种信息安全事件,我们不难发现,在信息安全事

3、件表象后面其实都是人的因素在起决定作用。不完备的安全体系是不能保证日趋复杂的组织信息系统安全性的。因此,组织为达到保护信息资产的目的,应在“以人为本”的基础上,充分利用现有的ISO13335、BS7799、CoBIT、ITIL等信息系统管理服务标准与最佳实践,制定出周密的、系统的、适合组织自身需求的信息安全管理体系。二、HTP模型信息安全的建设是一个系统工程,它需求对信息系统的各个环节进行统一的综合考虑、规划和构架,并要时时兼顾组织内不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁。在这里我们可以引用管理学上的木桶原理加以说明。木桶原理指的是:一个木桶由许多块木板组成,如果组成木桶的

4、这些木板长短不一,那么木桶的最大容量不取决于长的木板,而取决于最短的那块木板。这个原理同样适用信息安全。一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。信息从产生到销毁的生命周期过程中包括了产生、收集、加工、交换、存储、检索、存档、销毁等多个事件,表现形式和载体会发生各种变化,这些环节中的任何一个都可能影响整体信息安全水平。要实现信息安全目标,一个组织必须使构成安全防范体系这只“木桶”的所有木板都要达到一定的长度。从宏观的角度来看,我们认为信息安全可以由以下HTP模型来描述:人员与管理(Humanandmanagement)、技术与产品(Technologyandpr

5、oducts)、流程与体系(ProcessandFramework)。HTP--“以人为本”的信息安全模型其中人是信息安全最活跃的因素,人的行为是信息安全保障最主要的方面。人特别是内部员工既可以是对信息系统的最大潜在威胁,也可以是最可靠的安全防线。统计结果表明,在所有的信息安全事故中,只有20%-30%是由于黑客入侵或其他外部原因造成得,70%-80%是由于内部员工的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题,单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。以往的各种安全模型,其最大的缺陷是忽略了对人的因素的考虑,在信息安全问题

6、上,要以人为本,人的因素比信息安全技术和产品的因素更重要。与人相关的安全问题涉及面很广,从国家的角度考虑有法律、法规、政策问题;从组织角度考虑有安全方针政策程序、安全管理、安全教育与培训、组织文化、应急计划和业务持续性管理等问题;从个人角度来看有职业要求、个人隐私、行为学、心理学等问题。在信息安全的技术防范措施上,可以综合采用商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI服务、取证、网络入侵陷阱、主动反击等多种技术与产品来保护信息系统安全,但不应把部署所有安全产品与技术和追求信息安全的零风险为目标,安全成本太高,安全也就失去其意义。组织实现信息安全应采用

7、“适度防范”(Rightsizing)的原则,就是在风险评估的前提下,引入恰当的控制措施,使组织的风险降到可以接受的水平,保证组织的业务的连续性和商业价值最大化就达到了安全的目的。信息安全不是一个孤立静止的概念,信息安全是一个多层面、多因素的、综合的、动态的过程。一方面,如果组织凭着一时的需要,想当然去制定一些控制措施和引入某些技术产品,都难免存在挂一漏万、顾此失彼的问题,使得信息安全这只“木桶”出现若干“短木块”,从而

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。