信息安全管理体系的实施过程.docx
版权申诉
112 浏览量
2022-06-05
09:52:47
上传
评论
收藏 620KB DOCX 举报
信息安全管理体系的实施过程(1)
责任编辑:admin 更新日期:2005-8-6
信息安全管理体系的实施过程
一、问题的提出
人类正进入信息化社会,社会发展对信息资源的依赖程度越来越大,从人们日常生活、组织
运作到国家管理信息资源都是不可或缺的重要资源,没有各种信息的支持,现代社会将不能
生存和发展。在信息社会中,一方面信息已成为人类重要资产,在政治、经济、军事、教育、
科技、生活等方面发挥着重要作用,另一方面计算机 技术的迅猛发展而带来的信息安全问题
正变得日益突出,信息资产的比传统的实物资产更加脆弱,更容易受到损害,需要加以妥善
保护。
长期以来由于媒体报道的侧重点以及生产商的广告宣传等多种因素的影响,国内公众对安全
的认识被广泛误导。有相当一部分人认为 黑客和病毒就已经涵盖了信息安全的一切威胁,似
乎信息安全工作就是完全在与 黑客与病毒打交道,全面系统的安全解决方案就是部署反病毒
软件、防火墙、入侵检测系统。这种偏面的看法对一个组织实施有效的信息安全保护带来了
不良影响。
目前,各厂商、各标准化组织都基于各自的角度提出了各种信息安全管理的体系标准,这些
基于产品、技术与管理层面的标准在某些领域得到了很好的应用,但从组织信息安全的各个
角度和整个生命周期来考察,现有的信息安全管理体系与标准是不够完备的,特别是忽略了
组织中最活跃的因素――人的作用。考察国内外的各种信息安全事件,我们不难发现,在信
息安全事件表象后面其实都是人的因素在起决定作用。不完备的安全体系是不能保证日趋复
杂的组织信息系统安全性的。
因此,组织为达到保护信息资产的目的,应在“以人为本”的基础上,充分利用现有的
ISO13335、BS7799、CoBIT、ITIL 等信息系统管理服务标准与最佳实践,制定出周密的、系
统的、适合组织自身需求的信息安全管理体系。
二、HTP 模型
信息安全的建设是一个系统工程,它需求对信息系统的各个环节进行统一的综合考虑、规划
和构架,并要时时兼顾组织内不断发生的变化, 任何环节上的安全缺陷都会对系统构成威胁。
在这里我们可以引用管理学上的木桶原理加以说明。木桶原理指的是:一个木桶由许多块木
板组成,如果组成木桶的这些木板长短不一,那么木桶的最大容量不取决于长的木板,而取
决于最短的那块木板。这个原理同样适用信息安全。一个组织的信息安全水平将由与信息安
全有关的所有环节中最薄弱的环节决定。信息从产生到销毁的生命周期过程中包括了产生、
收集、加工、交换、存储、检索、存档、销毁等多个事件,表现形式和载体会发生各种变化,
这些环节中的任何一个都可能影响整体信息安全水平。要实现信息安全目标,一个组织必须
使构成安全防范体系这只“木桶”的所有木板都要达到一定的长度。从宏观的角度来看,我
们认为信息安全可以由以下 HTP 模型来描述:人员与管理 (Human and management) 、技术与
剩余10页未读,继续阅读
资源评论
