返回
电子商务信息系统安全管理体系prs-isms的研究new

电子商务信息系统安全管理体系prs-isms的研究new

ID:34544263

大小:409.31 KB

页数:8页

时间:2019-03-07

电子商务信息系统安全管理体系prs-isms的研究new_第1页
电子商务信息系统安全管理体系prs-isms的研究new_第2页
电子商务信息系统安全管理体系prs-isms的研究new_第3页
电子商务信息系统安全管理体系prs-isms的研究new_第4页
电子商务信息系统安全管理体系prs-isms的研究new_第5页
资源描述:

《电子商务信息系统安全管理体系prs-isms的研究new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、万方数据第40卷第11期2010年6月数学的实践与认识MATHEMATICSINPRACTICEANDTHEORYVbl.40.NO.11Jun.,2010电子商务信息系统安全管理体系PRS·ISMS的研究张建,袁卫华,戚文静,张绍兰(山东建筑大学计算机科学与技术学院,山东济南250101)摘要:信息是电子商务至关重要的资产,电子商务的正常运转必须建立在安全的信息系统之上,因而电子商务信息系统安全问题成为人们日益关注的重点.根据电子商务信息系统特点,从信息系统过程(Process)、资源(Resource)和安全目标(Security)三个视角分析了电子商务信息安全风险的要素及其关系,构建了

2、三维信息系统安全管理体系模型PRS—ISMS,提出了改进的信息安全风险管理过程PRS—PDCA.,关键词:电子商务;信息系统;信息安全管理体系;信息安全管理过程0引言信息系统安全风险管理是合理解决电子商务信息系统风险问题的保障,信息系统风险评估结果的有效性和准确性取决于信息系统安全管理体系的建立和实施是否完善,因此对电子商务信息安全管理体系的研究具有极其重要的意义。国外关于信息系统安全管理的研究已有20多年的历史.我国信息系统安全管理的研究是近几年才起步的,但随着电子商务的蓬勃发展,信息系统安全管理系统已经得到高度重视.无论国外还是国内,在信息系统的风险评估中,对评估模型和方法的研究一直是研

3、究的重点.信息安全风险管理是采用过程方法来建立、实施、运行、监视、评审、保持和改进组织信息安全管理体系,目的是不断满足组织信息系统的机密性、完整性和可用性的安全要求,完成组织的使命【l】.信息安全风险管理是一个涉及多层面、多因素、综合和动态的持续改进的过程,也是一个长期的、循环的和再管理过程.本文在对典型信息安全风险管理过程比较研究的基础上,从信息系统过程(Process)、资源(Resource)和安全目标(Security)三个视角分析了电子商务信息安全风险的要素及其关系,构建了过程(Process)、资源(Resource)和安全目标(Security)的三维信息系统安全管理体系模型P

4、RS—ISMS;将信息安全风险管理的一般过程与信息系统生命周期相结合,从信息资源保护和安全目标实现角度,改进了信息安全风险管理过程PRS—PDCA.1电子商务信息系统安全风险的构成要素及其内部关系电子商务信息系统风险评估首先要识别资产相关要素的关系,从而判断资产面临的风险大小.GB—T《信息安全风险评估指南》、CC、ISO/IEC13335和SSE-CMM等信息安全风险收稿日期:2009-09—24资助项目:山东省教育厅科技计划项目(J07JYl4)万方数据11期张建,等:电子商务信息系统安全管理体系PRS—ISMS的研究113标准,分别从不同的角度、不同的焦点提出了信息安全风险结构,建立了

5、信息安全风险的构成要素或过程以及它们之间的相互关系[10].但是电子商务信息系统各个组成部分的安全状况往往是随着外界因素的变化而处于发展和变化中的,风险管理要素与系统的资源、系统过程以及系统的安全措施密切相关.信息安全风险的发生往往是众多要素在系统发展和变化中相互作用和叠加的结果.因此,本文在研究国内外信息安全风险标准的基础上,提出了以信息系统过程(Process)、信息系统资源(Resource)和信息系统安全目标(Security)三个要素域构建的PRS—ISMS信息安全风险的要素及其内部关系图,如图1所示.Resource\、兰’所钉确/71、l一监视对疑产负责l,l。。I姓崧}一、、

6、㈠}r“

7、i‘/_~、、‘L威胁主体/挝柯\坐产:价吧/刺扦1●一’Proeess技起l,r10⋯,I利用。l。.⋯。威胁I7’脆弱矬影响演k导敢

8、增搬,p教导致◆1变触随

9、11r.◆‘{;/一一1、\残搿。/一—气~;r璃:套啦摊、1残余风腧l≮1‘9≥/1t≈熊等敛\、~—/JL:Securit降低抵钱导数~出∈憧厂安全需求、束确蔼执扎降低\—/1.制定安伞掖施图1PRS—ISMS信息安全风险构成要素及其关系图中方框部分的内容为风险评估的基本要素,包括:资产、威胁、脆弱性、影响、风险、安全措施.椭圆部分的内容是与这些要素相关的属性∞】.1.1风险管理要素定义1)资产资产是电子商务企业成功

10、的关键信息或资源,是信息安全保护的主要对象.包括物理硬件、软件、产品生产和服务能力、人员和其它无形资产.2)威胁威胁是潜在的能导致电子商务信息安全风险事件并对电子商务企业及其资产造成损害万方数据114数学的实践与认识40卷的活动.它可以通过IT系统或者服务,直接或间接地作用于信息系统,并导致非授权破坏、泄露、修改、损坏、不可用的损失.3)脆弱性脆弱性是电子商务信息资产在与其相关的物理环境、组织、策略、人员、管

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。