欢迎来到天天文库
浏览记录
ID:47507248
大小:105.51 KB
页数:6页
时间:2020-01-12
《信息安全合规性比较》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、信息安全个标准体系要求之比较目前,信息安全的标准体系很多,主要分为管理类、技术类和工程类。在一个体系中,经常综合放映了三个方面的要求。为了便于使用,本文以信息安全各个内容为主线,梳理各个体系的要求并作出对比。0.总体说明0.1比较范围由于信息安全的本质是为了确保业务价值,面向的对象是信息资产。所以围绕信息资产的信息要求来组织各个体系的内容。比较的体系包括以下4个:1)信息系统安全等级保护测评要求2)信息系统安全等级保护基本要求GB/T22239-2008第四级3)信息安全管理体系要求GB/T22080-2008idtISO27001:20054)服务管理GB/T2
2、2405.1-2009idtISO20000-1:20055)商业银行信息科技风险管理指引6)网上银行系统信息安全通用规范由于等保的测评要求和直接把等保的基本要求作为指标,所以综合为等保要求。标准编号会特别说明。把ISO20000纳入体系,主要是在IT系统的运维阶段,安全和域内密不可分。以后还会逐步把NIST800中有关标准纳入比较。0.2比较的条目结构本文以信息系统安全内容为主线来进行比较。比较的主要条目有:第一部分:基础部分1)目的与动机2)基本方法和模型3)适用范围第二部分:管理部分4)文件化要求5)信息安全方针和安全策略6)信息安全组织7)人员资源安全8)
3、安全制度和流程信息安全个标准体系要求之比较1)安全事件管理2)问题管理3)系统的获取4)系统的运维5)对信息安全体系本身的管理第三部分技术部分1)物理安全2)网络安全3)主机安全4)应用安全5)数据和备份恢复第四部分专题部分6)业务连续性7)业务恢复1.目的和动机的比较目的和动机一般在标准的引言中说明。也有标准在其他部分说明。1.1.等保要求的目的和动机在《信息系统安全等级保护测评要求》的引言中说明目的和动机:指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。在《GB/T22239—2008信息安全技术信息系统安全等级保护基本要求》的引言中说明的目的和动
4、机:指导不同安全保护等级信息系统的安全建设和监督管理。1.2.信息安全管理体系的目的和动机在《GB/T22080—2008信息技术安全技术信息安全管理体系要求》的引言中说明了目的和动机8)为建立、实施、运行、监视、评审、保持和改进信息安全管理体系提供模型。9)用于一致性评估信息安全个标准体系要求之比较1.1.服务管理的目的和动机在《GB/T24405.1-2009T信息技术_服务管理_第1部分_规范.》的引言中说明的目的与动机:鼓励采用整合的过程方法,有效地交付受管理的服务,满足业务和顾客要求1.2.商业银行信息科技风险管理指引的目的和动机在第一章总则的第五条中说
5、明了目的和动机:通过建立有效机制,实现对商业银行信息科技风险的识别、计量、检测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争能力和可持续发展能力。1.3.网上银行系统信息安全通用规范的目的和动机在前言中说明了目的和动机:有效增强现有网上银行系统的安全防范能力,促进网上银行规范、健康发展。作为网上银行系统建设和改造升级的安全性依据,也可以作为个单位开展安全检查和内部审计的依据。2.基本方法和模型的比较一般在引言、或者总则中说明基本方法和模型。2.1.等保的基本方法和模型在《信息系统安全等级保护测评要求》的引言说明基本方法和
6、模型为:1)针对信息系统中的单项安全措施和多个安全措施的综合防范,对应地提出单元测评和整体测评的技术要求,用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。2)单元测评对安全技术和安全管理上各个层面的安全控制提出不同安全等级的测试评估要求,其测评内容主要针对《信息安全技术信息系统安全等级保护基本要求》规定的各单项安全控制措施在信息系统中的落实情况。3)整体测评根据安全控制间、层面间和区域间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测试评估要求。信息安全个标准体系要求之比较在《信息系统安全等级保护测评要求》的第四章总则中说明了
7、测评原则、测评内容、测评强度、结果重用和测评方法在《GB/T22080—2008信息技术安全技术信息安全管理体系要求》:基本安全要求包括基本技术要求和基本管理要求1.1.信息安全管理体系的基本方法和模型PDCA的过程方法1.2.服务管理的基本方法和模型通过整合过程和对不同人员和组织的协调来不断改进。信息安全个标准体系要求之比较1.1.商业银行信息科技风险管理指引的基本方法和模型管法人:从坚持法人监管出发,指出商业银行法定代表人是本机构信息科技风险管理的第一责任人管风险:从坚持风险监管出发,要求商业银行建立有效的机制,实现对信息科技风险的识别、计量、监测和控制,提高
8、信息技术使
此文档下载收益归作者所有