盤點(diǎn):3種信息安全保障方法的比較_第1頁
盤點(diǎn):3種信息安全保障方法的比較_第2頁
盤點(diǎn):3種信息安全保障方法的比較_第3頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

【計(jì)算機(jī)論文】盤點(diǎn):3種信息安全保障方法的比較

1.等級保護(hù)1)主要內(nèi)容等級保護(hù)是指導(dǎo)我國信息安全保障體系總體建設(shè)的基礎(chǔ)管理原則,是圍繞信息安全保障全過程的一項(xiàng)基礎(chǔ)性管理制度,其核心內(nèi)容是對信息安全分等級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。2)優(yōu)點(diǎn)等級保護(hù)適用于宏觀層面,是一種大范圍“基線安全”,適用于行業(yè)主管部門對信息安全的總體把握與監(jiān)控。3)缺點(diǎn)具體到某個(gè)組織的信息安全保護(hù)而言,等級保護(hù)的粒度劃分較粗,在滿足組織對信息安全的精細(xì)控制要求方面還存在不足。因此,在滿足監(jiān)管部門的等級保護(hù)要求之后,組織還可進(jìn)一步把等級細(xì)化到各種層次的安全域,直至對一個(gè)個(gè)的信息資產(chǎn)進(jìn)行有效管理。2.信息安全管理體系(ISMS)1)主要內(nèi)容類似于質(zhì)量之于ISO9000,ISMS是組織為提高信息安全管理水平,按照ISO27001的要求,在整體或特定范圍內(nèi)監(jiān)理的信息安全方針和目標(biāo),以及完成這些目標(biāo)所用的方法和體系。它是直接管理活動的結(jié)果,表示為方針、原則、目標(biāo)、方法、計(jì)劃、活動、程序、過程和資源的集合。2)優(yōu)點(diǎn)ISMS涉及了信息安全的11個(gè)領(lǐng)域,133個(gè)控制措施,基本涵蓋了信息安全的方方面面,適用于各種類型的組織用來建立一個(gè)總體的安全控制框架;ISMS更注重于把“安全管理”當(dāng)作一種制度來建設(shè),通過建立統(tǒng)一的方針、策略,以及規(guī)范化安全規(guī)則,使ISMS實(shí)施主體能有效地識別風(fēng)險(xiǎn),持續(xù)不斷地采取管控措施,以把風(fēng)險(xiǎn)降低到組織可接受的程度。3)缺點(diǎn)它只是描述了建立ISMS的思想、框架,但對如何建立ISMS并沒有一個(gè)詳細(xì)明確的定義,也沒有描述ISMS的最終形態(tài);沒有確定建立信息安全體系的具體方法與技術(shù)。因此,ISMS對實(shí)施者來說留下來很大的可操作空間,不同的組織和不同實(shí)施著對ISMS標(biāo)準(zhǔn)的把握可能差別很大,ISMS總體水平也會有高下之分。3.風(fēng)險(xiǎn)評估1)主要內(nèi)容風(fēng)險(xiǎn)評估是獲知組織當(dāng)前風(fēng)險(xiǎn)水平的一種手段,在金融、電子商務(wù)等許多領(lǐng)域都是有風(fēng)險(xiǎn)及風(fēng)險(xiǎn)評估需求的存在。當(dāng)風(fēng)險(xiǎn)評估應(yīng)用于IT安全領(lǐng)域時(shí),就是對信息安全的風(fēng)險(xiǎn)評估。2)優(yōu)點(diǎn)風(fēng)險(xiǎn)評估從早起簡單的漏洞掃描、人工審計(jì)、滲透性測試這種類型的純技術(shù)操作,逐漸過渡到目前普遍采用ISO17799、OCTAVE、NISTSP800、NISTP800-26、NISTSP800-30、AS/NZS4360、SSE-CMM等方法,充分體現(xiàn)以資產(chǎn)為出發(fā)點(diǎn)、以威脅為觸發(fā)、以技術(shù)/管理/運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險(xiǎn)評估綜合方法及操作模型。國內(nèi)這幾年對信息安全風(fēng)險(xiǎn)評估的研究進(jìn)展較快,具體的評估方法也在不斷改進(jìn)。原國信辦2004年組織完成了《信息安全風(fēng)險(xiǎn)評估指南》及《信息安全風(fēng)險(xiǎn)管理指南》標(biāo)準(zhǔn)草案的制定,并在其中規(guī)定了信息安全風(fēng)險(xiǎn)評估的工作流程、評估內(nèi)容、評估方法和風(fēng)險(xiǎn)判斷準(zhǔn)測,對規(guī)范我國信息安全風(fēng)險(xiǎn)評估的做法具有很好的指導(dǎo)意義。3)缺點(diǎn)《信息安全風(fēng)險(xiǎn)評估指南》所確定的風(fēng)險(xiǎn)評估方法還只是一個(gè)通用的方法論,具體到一個(gè)特定的單位,要對其中的風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確地識別與量化仍熱是一件困難的事情,在很大程度上要取決于評估者的經(jīng)驗(yàn)。另一方面,《信息安全風(fēng)險(xiǎn)評估指南》主要是對所識別的一個(gè)個(gè)靜態(tài)資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評估,涉及IT治理、IT管理流程、IT運(yùn)維、IT審計(jì)、IT價(jià)值實(shí)現(xiàn)等方面的風(fēng)險(xiǎn),并不能完全套用以上信息資產(chǎn)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論