欢迎来到天天文库
浏览记录
ID:23876707
大小:84.50 KB
页数:6页
时间:2018-11-11
《中国信息安全测评中心王军谈安全服务资质管理》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、----------专业最好文档,专业为你服务,急你所急,供你所需-------------文档下载最佳的地方中国信息安全测评中心王军谈安全服务资质管理2008-05-1510:10:43 来源:网易科技报道 网友评论0条进入论坛网易科技讯5月15日消息,由计算机世界传媒集团主办,《CSO&信息安全》月刊承办的第六届中国CSO俱乐部大会暨2008中国信息安全年会在北京召开,网易(企业库论坛)科技频道做为独家门户直播网站在现场做了直播报道。以下为中国信息安全测评中心总工程师王军做主题为“关于安全服务资质管理的思考”的主题演讲。主
2、持人:感谢郭启全处长的致词,同时他的呼吁也引起了大家的一个共鸣。再强调一下,在下午的分论坛,有关等级保护工作的开展以及后续的一些进展情况,郭启全处长会在上面做一个具体的发言,希望大家关注。衷心感谢公安部公共信息网络安全监察局对于本次大会的指导和支持。下面,会议将进入主题发言时间。近年来,随着信息安全产业走向成熟和规范,信息安全产品、技术推陈出新,用户的意识普遍提高,而安全产业发展到成熟阶段的时候,一定是一个综合实力的体现,一个以服务为盈利点的产业,为什么如此定义?而且是一个技术含量很高的行业,各行各业不断地组建自己的专业队伍,
3、那样非常庞大。所以,为次我们邀请到了中国信息安全测评中心总工程师王军老师为我们大会做主题发言,他发言的内容围绕“关于安全服务资质管理的思考”,有请王军。王军:各位来宾早上好!本次大会主题是“坚持技术创新,推进安全服务”,那么中国信息安全测评中心正好在关于信息安全服务资质管理方面做了一些研究,受大会主办方的委托,我把我们最近在这个方面研究的一些体会给大家做一个汇报。----------专业最好文档,专业为你服务,急你所急,供你所需-------------文档下载最佳的地方----------专业最好文档,专业为你服务,急你所急
4、,供你所需-------------文档下载最佳的地方我要介绍4个方面的内容,一个是信息安全服务资质管理的必要性,再有一个就是国外信息安全服务资质管理的情况,还有就是我们国内信息安全服务资质管理的现状,再有就是对于加强我们国家信息安全服务资质管理的有关对策和建议。我先介绍第一个问题,就是信息安全服务资质管理的必要性。我将先介绍一下信息安全服务的概念和信息安全服务的类别,还有信息安全服务资质的概念,最后谈一下对于信息安全服务进行资质管理的必要性。信息安全服务,实际上目前应该说在业界并没有形成一个统一的概念。那么在ISO/IECT
5、R15443-1,2005年的技术报告中,有一个非常简短的定义,就是信息安全服务是由供应商、组织机构或人员所执行的一个安全过程或者任务。这是非常学术化的定义,那么在美国的国家标准研究所特别出版物,就把信息安全分为了管理、运行、技术三个方面。这是他报告当中的13个方面,从管理、运行、技术进行了分类。那么,我们觉得目前国际上这样的一些分别,特别是信息安全服务到正在蓬勃发展的今天,有一些分别不太适合,所以我们根据我们国家的情况,做了一个简单的分类,主要是10类。从安全系统的集成到安全咨询服务,我会逐一地介绍一下我们基本的定义。第一个
6、信息安全服务主要是系安全集成,主要是满足信息系统安全需求的一组工程过程的集合。----------专业最好文档,专业为你服务,急你所急,供你所需-------------文档下载最佳的地方----------专业最好文档,专业为你服务,急你所急,供你所需-------------文档下载最佳的地方第二个是安全运维服务,主要是通过专业化的服务来解决网络和信息系统中日常运行的问题,这包括了系统安全加固、日常安全监控、定期安全审计、安全通告、补丁更新以及安全技术支持等等。大家可以看到在别的分类方法中,把一些个别的项目,比如说安全审计
7、等等单独提出来分类,这可能是仁者见仁智者见智的方法。第三个是指安全监理服务,这是指从技术和管理的角度对信息系统安全恭城的实施过程进行控制和管理,以确保信息安全质量和数量有效地实施。第四个是安全管理服务,是指一国际国内信息安全管理体系ISMS,围绕着这样的工作,为用户建立一个系统化、程序化和文档化的管理系统。这项工作实际上有比较强的专业性,通常是需要专业队伍的帮助。第五个是风险评估服务,这是指从风险管理的角度,运用科学的方法和手段,系统地分析应用系统中的脆弱性,同时要找到这种脆弱性被利用的可能性,以及造成的负面的影响,并对它的危
8、害程度进行评估,同时来对这些防护措施有效地进行评价,以求防范或者是化解风险,或者把风险至少降到可控制的程度,这样的服务称为风险评估。再有一个就是安全测评服务,是指依据有关信息技术安全标准和规范,对信息安全技术和系统进行综合评估。第七个是应急响应,这是事先制定提供切实有效的恢复
此文档下载收益归作者所有