返回
信息安全管理测评研究

信息安全管理测评研究

ID:46364516

大小:74.00 KB

页数:10页

时间:2019-11-23

信息安全管理测评研究_第1页
信息安全管理测评研究_第2页
信息安全管理测评研究_第3页
信息安全管理测评研究_第4页
信息安全管理测评研究_第5页
资源描述:

《信息安全管理测评研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、信息安全管理测评研究摘要:信息安全管理测评是信息安全管理的一部分,作为衡量信息安全管理状态及其绩效的信息安全管理测评方法学的研究已成为迫切需要解决的重要课题,其对组织信息安全保障体系的建设、管理和改进具有重要意义。关键词:信息安全管理;测评;要素;指标中图分类号:TP393文献标识码:A文章编号:1009-3044(2013)27-6080-03人类进入信息化社会,社会发展对信息化的依赖程度越来越大,一方面信息化成果已成为社会的重要资源,在政治、经济、国防、教育、科技、生活等发面发挥着重要的作用,另一方面由于信息技术的迅猛发展而带来的信息安全事件、事故层出不穷,信息安全问

2、题与矛盾日益突出。信息安全工程是一个多层面、多因素的、综合的、动态的系统工程,其包括关键基础设施及硬件安全、运行安全、软件安全、通信安全、人员安全、传输安全、网络安全、人员安全等。组织要实现信息安全冃标,就必须建立一套行之冇效信息安全管理与技术冇机结合的安全防范体系。信息安全管理包括制定信息安全策略(包括计划、程序、流程与记录等)、风险评估、控制目标的选择、控制措施的实施以及信息安全管理测评等。管理大师德鲁克曾经说过“无法度量就无法管理”[1],强调了测量对组织管理的重要意义,信息安全管理同样也离不开测评。如何对信息安全管理有效性等进行测量,根据测量的结果对组织信息安全管

3、理情况进行评价并进一步指导信息安全管理,提高信息安全管理能力和水平,目前已经成为信息安全领域的一个研究热点[2]。信息安全管理测评是组织围绕信息化持续发展与信息安全保障的现状和未来综合能力的反映,不仅是对过去和现在的能力展现,而且为未来发展提供保障和动力。在我国,目前关于信息安全管理测评研究刚处于起步阶段,还没有一套可供使用的信息安全测评体系标准、方法等。因此,开展信息安全管理测评研究,对组织信息化建设既具有重要的现实意义也具有长远的持续发展意义。1信息安全管理测评发展综述与需求关于信息安全测评,美国早在2002年通过的《联邦信息安全管理法案》中就要求各机构每年必须对其信

4、息安全实践进行独立测评,以确认其冇效性。这种测评主要包括对管理、运行和技术三要素的控制和测试,其频率视风险情况而定,但不能少于每年一次。在独立评价的基础上,联邦管理与预算局应向国会上报评价汇总结果;而联邦审计署则需要周期性地评价并向国会汇报各机构信息安全策略和实践的有效性以及相关要求的执行情况。2003年7月,美国国家标准与技术研究所(NationalInstituteofStandardsandTechnology,NTST)发布了NISTSP800-55《信息技术系统安全测量指南》,其包括•以下内容[3]:1)角色和职责:介绍发展和执行信息安全测量的主要任务和职责。1

5、)信息安全测量背景:介绍测量定义、进行信息安全测量的好处、测量类型、几种可以进行信息安全测量的控制、成功测量的重要因素、测量对管理、报告和决策的作用。3)测量发展和执行过程:介绍用于信息安全测量发展的方法。4)测量项目执行:讨论可以影响安全测量项目的技术执行的各种因素。5)以附件的形式给出的16种测量的模板。2004年11月17日,美国的企业信息安全工作组(CorporateInformationSecurityWorkingGroup,C1SWG)发布了CISWGCS1/05-0079《带有支撑管理测量的信息安全计划要素》[4],2005年国际标准化组织(ISO/IEC

6、SC27)提出了信息安全管理体系(InformationSecurityManagementSystems,ISMS)的系列标准——IS027000系列。2005年1月10日又发布了修订版,并作为针对ISO/IEC2ndWD27004的贡献文档提交给ISO/IECJTC1SC27,该文档是根据CISWG的最佳实践和测量小组的报告改编。2005年8月31H,美国国际系统安全T程协会(InternationalSystemSecurityEngineeringAssociation,ISSEA)针对ISO/IEC2ndWD27004向ISO/IECJTC1SC27提交了题为“

7、ISSEAContributionBackground[5](ISSEA测量的贡献背景)和“ISSEAMetrics"[6](ISSEA测量)两个贡献文档。2009年国际标准化组织(ISO)发布了ISO/IEC27004:2009(信息技术一安全技术一信息安全管理测量)标准,为如何建立及测量ISMS及其控制措施提供了指导性建议[7]。信息安全管理体系是信息安全保障体系的重要组成部分。近年來,随看组织对信息安全保障工作重视程度的日益增强,不少组织都依据标准GB/T22081-2008建立了一套比较完善的ISMS来保护组织的重要信

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。