没有合适的资源?快使用搜索试试~ 我知道了~
信息安全管理体系的实施过程.docx
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 112 浏览量
2022-06-05
09:52:47
上传
评论
收藏 620KB DOCX 举报
温馨提示
试读
11页
信息安全管理体系的实施过程.docx信息安全管理体系的实施过程.docx信息安全管理体系的实施过程.docx信息安全管理体系的实施过程.docx信息安全管理体系的实施过程.docx信息安全管理体系的实施过程.docx信息安全管理体系的实施过程.docx信息安全管理体系的实施过程.docx
资源推荐
资源详情
资源评论
信息安全管理体系的实施过程(1)
责任编辑:admin 更新日期:2005-8-6
信息安全管理体系的实施过程
一、问题的提出
人类正进入信息化社会,社会发展对信息资源的依赖程度越来越大,从人们日常生活、组织
运作到国家管理信息资源都是不可或缺的重要资源,没有各种信息的支持,现代社会将不能
生存和发展。在信息社会中,一方面信息已成为人类重要资产,在政治、经济、军事、教育、
科技、生活等方面发挥着重要作用,另一方面计算机 技术的迅猛发展而带来的信息安全问题
正变得日益突出,信息资产的比传统的实物资产更加脆弱,更容易受到损害,需要加以妥善
保护。
长期以来由于媒体报道的侧重点以及生产商的广告宣传等多种因素的影响,国内公众对安全
的认识被广泛误导。有相当一部分人认为 黑客和病毒就已经涵盖了信息安全的一切威胁,似
乎信息安全工作就是完全在与 黑客与病毒打交道,全面系统的安全解决方案就是部署反病毒
软件、防火墙、入侵检测系统。这种偏面的看法对一个组织实施有效的信息安全保护带来了
不良影响。
目前,各厂商、各标准化组织都基于各自的角度提出了各种信息安全管理的体系标准,这些
基于产品、技术与管理层面的标准在某些领域得到了很好的应用,但从组织信息安全的各个
角度和整个生命周期来考察,现有的信息安全管理体系与标准是不够完备的,特别是忽略了
组织中最活跃的因素――人的作用。考察国内外的各种信息安全事件,我们不难发现,在信
息安全事件表象后面其实都是人的因素在起决定作用。不完备的安全体系是不能保证日趋复
杂的组织信息系统安全性的。
因此,组织为达到保护信息资产的目的,应在“以人为本”的基础上,充分利用现有的
ISO13335、BS7799、CoBIT、ITIL 等信息系统管理服务标准与最佳实践,制定出周密的、系
统的、适合组织自身需求的信息安全管理体系。
二、HTP 模型
信息安全的建设是一个系统工程,它需求对信息系统的各个环节进行统一的综合考虑、规划
和构架,并要时时兼顾组织内不断发生的变化, 任何环节上的安全缺陷都会对系统构成威胁。
在这里我们可以引用管理学上的木桶原理加以说明。木桶原理指的是:一个木桶由许多块木
板组成,如果组成木桶的这些木板长短不一,那么木桶的最大容量不取决于长的木板,而取
决于最短的那块木板。这个原理同样适用信息安全。一个组织的信息安全水平将由与信息安
全有关的所有环节中最薄弱的环节决定。信息从产生到销毁的生命周期过程中包括了产生、
收集、加工、交换、存储、检索、存档、销毁等多个事件,表现形式和载体会发生各种变化,
这些环节中的任何一个都可能影响整体信息安全水平。要实现信息安全目标,一个组织必须
使构成安全防范体系这只“木桶”的所有木板都要达到一定的长度。从宏观的角度来看,我
们认为信息安全可以由以下 HTP 模型来描述:人员与管理 (Human and management) 、技术与
产品(Technology and products) 、流程与体系(Process and Framework) 。
HTP--“以人为本”的信息安全模型
其中人是信息安全最活跃的因素,人的行为是信息安全保障最主要的方面。人特别是内部员
工既可以是对信息系统的最大潜在威胁,也可以是最可靠的安全防线。统计结果表明,在所
有的信息安全事故中,只有 20%-30%是由于黑客入侵或其他外部原因造成得,70%-80%是由于
内部员工的疏忽或有意泄密造成的。 站在较高的层次上来看信息和 网络安全的全貌就会发现
安全问题实际上都是人的问题, 单凭技术是无法实现从“最大威胁”到“最可靠防线”转变
的。以往的各种安全模型,其最大的缺陷是忽略了对人的因素的考虑,在信息安全问题上,
要以人为本,人的因素比信息安全 技术和产品的因素更重要。与人相关的安全问题涉及面很
广,从国家的角度考虑有法律、法规、政策问题;从组织角度考虑有安全方针政策程序、安
全管理、安全教育与培训、组织文化、应急计划和业务持续性管理等问题;从个人角度来看
有职业要求、个人隐私、行为学、心理学等问题。 在信息安全的 技术防范措施上,可以综
合采用商用密码、防火墙、防病毒、身份识别、 网络隔离、可信服务、安全服务、备份恢复、
PKI 服务、取证、网络入侵陷阱、主动反击等多种 技术与产品来保护信息系统安全,但不应
把部署所有安全产品与 技术和追求信息安全的零风险为目标,安全成本太高,安全也就失去
其意义。组织实现信息安全应采用“适度防范”(Rightsizing)的原则,就是在风险评估的
前提下,引入恰当的控制措施,使组织的风险降到可以接受的水平,保证组织的业务的连续
性和商业价值最大化就达到了安全的目的。
信息安全不是一个孤立静止的概念,信息安全是一个多层面、多因素的、综合的、动态的过
程。一方面,如果组织凭着一时的需要,想当然去制定一些控制措施和引入某些 技术产品,
都难免存在挂一漏万、顾此失彼的问题,使得信息安全这只“木桶”出现若干“短木块”,
从而无法提高安全水平。 正确的做法是遵循国内外相关信息安全标准与最佳实践过程,考
虑到组织对信息安全的各个层面的实际需求,在风险分析的基本上引入恰当控制,建立合理
安全管理体系,从而保证组织赖以生存的信息资产的安全性、完整性和可用性;另一方面,
这个安全体系统还应当随着组织环境的变化、业务发展和信息 技术提高而不断改进,不能一
劳永逸,一成不变。因此实现信息安全是一个需要一个完整的体系来保证的持续过程。
根据国内信息安全建设的现状与特点并结合信息安全国际标准、行业标准以及通用最佳实
践,并考虑实用性与易用性,我们提出以下实现信息的方法论及具体步骤。
信息安全的方法论:根据自顶向下,逐步求精的原则,根据组织的业务目标与安全要求,在
风险评估的基础上,先建立并运行信息安全框架,初步达到粗粒度的信息安全;在完整的信
息安全框架之上,建立“人力防火墙”与“ 技术防火墙”,在细粒度上的保证信息安全;实
施阶段性的信息系统审计,在持续不断的改进过程中保证信息的安全性、完整性、可用性,
从而建立一套完整的信息安全管理体系。
信息安全管理体系的实施过程(2)
责任编辑:admin 更新日期:2005-8-6
信息安全管理体系的实施过程
三、建立 HTP 信息安全的步骤:
(一)在充分理解组织业务目标、组织文件及信息安全的条件下,通过 ISO13335 的风险分
析的方法,通过建立组织的信息安全基线 (Security Baseline), 可以对组织的安全的现状有
一个清晰的了解,并可以为以后进行安全控制绩效分析提供一个评价基础。
1.理解组织业务与组织文化
充分了解组织业务是设计安全方案的前提,只有了解组织业务,才能发现并分析组织业务所
处的风险环境,并在此基础上提出可能的安全保障措施;只有了解组织业务,才可能定义出
合理的安全投资规模和计划;只有了解组织业务,才能制定出合理的安全政策和制度。
对组织业务的了解包括对其业务内容、性质、目标及其价值进行分析,在信息安全中,业务
一般是以资产形式表现出来,它包括信息 /数据、软/硬件、无形资产、人员及其能力等。安
剩余10页未读,继续阅读
资源评论
春哥111
- 粉丝: 1w+
- 资源: 5万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功