返回
信息安全规划设计论文.doc

信息安全规划设计论文.doc

ID:61770876

大小:31.00 KB

页数:6页

时间:2021-03-19

信息安全规划设计论文.doc_第1页
信息安全规划设计论文.doc_第2页
信息安全规划设计论文.doc_第3页
信息安全规划设计论文.doc_第4页
信息安全规划设计论文.doc_第5页
资源描述:

《信息安全规划设计论文.doc》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、信息安全规划设计论文随着信息技术的不断发展,全球业务链已经越来越依赖信息技术。与信息技术相关的安全问题成为威胁业务链的重要构成部分。传统的信息安全保护在“木桶原理”的指导下,不断修补短板,却缺乏全面、系统的安全规划设计。本文的目的是通过CISP的知识体系架构建立基础的信息安全规划设计模型,为组织提供一套有效的参考和依据。理解CISP知识体系CISP的核心在于将保障贯穿于整个知识体系。保障应覆盖整个信息系统生命周期,通过技术、管理、工程过程和人员,确保每个阶段的安全属性(保密性、完整性和可用性)得到有效控制,使组织业务持续运行。IT作为保障业务的重要手段和工具成为传统保障目的的核心。由于风险会影

2、响业务的正常运行,因此,降低风险对业务的影响是保障的主要目标(如图)。在建立保障论据的过程中,首先应该考虑的是组织业务对IT的依赖程度;其次要考虑风险的客观性;第三要考虑风险消减手段的可执行度。CISP从体系结构上提供了信息安全规划设计的良好思路和方法论,在整个课程体系中涵盖了从政策(战略层)到模型、标准、基线(战术层)的纵向线条,同时在兼顾中国国情的情况下,系统介绍国际常用评估标准、管理标准和国家相关信息安全标准与政策。根据CISP知识体系建立安全规划设计安全规划是信息安全生命周期管理的起点和基础,良好的规划设计可以为组织带来正确的指导和方向。根据国家《网络安全法》“第三十三条建设关键信息基

3、础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。”1.通过保障的思想建立安全规划背景6学海无涯信息安全规划设计论文随着信息技术的不断发展,全球业务链已经越来越依赖信息技术。与信息技术相关的安全问题成为威胁业务链的重要构成部分。传统的信息安全保护在“木桶原理”的指导下,不断修补短板,却缺乏全面、系统的安全规划设计。本文的目的是通过CISP的知识体系架构建立基础的信息安全规划设计模型,为组织提供一套有效的参考和依据。理解CISP知识体系CISP的核心在于将保障贯穿于整个知识体系。保障应覆盖整个信息系统生命周期,通过技术、管理、工程过程和人员,确保每

4、个阶段的安全属性(保密性、完整性和可用性)得到有效控制,使组织业务持续运行。IT作为保障业务的重要手段和工具成为传统保障目的的核心。由于风险会影响业务的正常运行,因此,降低风险对业务的影响是保障的主要目标(如图)。在建立保障论据的过程中,首先应该考虑的是组织业务对IT的依赖程度;其次要考虑风险的客观性;第三要考虑风险消减手段的可执行度。CISP从体系结构上提供了信息安全规划设计的良好思路和方法论,在整个课程体系中涵盖了从政策(战略层)到模型、标准、基线(战术层)的纵向线条,同时在兼顾中国国情的情况下,系统介绍国际常用评估标准、管理标准和国家相关信息安全标准与政策。根据CISP知识体系建立安全规

5、划设计安全规划是信息安全生命周期管理的起点和基础,良好的规划设计可以为组织带来正确的指导和方向。根据国家《网络安全法》“第三十三条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。”1.通过保障的思想建立安全规划背景6学海无涯信息安全规划设计可以根据美国信息保障技术框架(IATF)ISSE过程建立需求,本阶段可对应ISSE中发掘信息保护需求阶段。根据“信息安全保障基本内容”确定安全需求,安全需求源于业务需求,通过风险评估,在符合现有政策法规的情况下,建立基于风险与策略的基本方针。因此,安全规划首先要熟悉并了解组织的业务特性,在信息安

6、全规划背景设计中,应描述规划对象的业务特性、业务类型、业务范围以及业务状态等相关信息,并根据组织结构选择适用的安全标准,例如国家关键基础设施的信息安全需要建立在信息安全等级保护基础之上、第三方支付机构可选CISP知识域简图择PCI-DSS作为可依据的准则等。信息系统保护轮廓(ISPP)是根据组织机构使命和所处的运行环境,从组织机构的策略和风险的实际情况出发,对具体信息系统安全保障需求和能力进行具体描述。传统的风险评估可以基于GB/T20984《信息安全风险评估规范》执行具体的评估,评估分为技术评估与管理评估两部分。从可遵循的标准来看,技术评估通过GB/T22240—2008《信息安全等级保护技

7、术要求》中物理安全、网络安全、系统安全、应用安全及数据安全五个层面进行评估;管理安全可以选择ISO/IEC27001:2013《信息技术信息安全管理体系要求》进行,该标准所包含的14个控制类113个控制点充分体现组织所涉及的管理风险。在工作中,可以根据信息系统安全目标来规范制定安全方案。信息系统安全目标是根据信息系统保护轮廓编制、从信息系统安全保障的建设方(厂商)角度制定的信息系统安全保障方案。根

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。