信息安全管理標準及綜合應(yīng)用

1、信息平安管理標準及綜合應(yīng)用摘要：人們對信息網(wǎng)絡(luò)的依賴日益增強，信息平安管理成了嚴重的問題。信息平安管理是一個復(fù)雜的系統(tǒng)工程必須遵循一定的標準。文章介紹了國內(nèi)外主要的信息平安管理相關(guān)標準的內(nèi)容和開展，并對其進展比擬；描繪了綜合應(yīng)用幾種主要標準進展信息平安管理的過程和方法；得出了信息平安管理標準的合理應(yīng)用，要開掘組織(政府或企業(yè))的真正需求，結(jié)合組織戰(zhàn)略，對現(xiàn)有標準進展整合，綜合應(yīng)用，才能獲得良好效果的結(jié)論。關(guān)鍵詞：信息平安管理；標準；應(yīng)用一、引言隨著inteet應(yīng)用的不斷深化和電子商務(wù)、電子政務(wù)的不贈f開展，人們在日常生活、經(jīng)濟、軍事、科技與教育等各個領(lǐng)域，對信息和信息系統(tǒng)依賴日益增強。然而，平

2、安一直是信息系統(tǒng)面臨的嚴重問題。早期，信息平安關(guān)注于技術(shù)方面，如：加密算法、訪問控制、入侵檢測等，最近，信息平安的風險管理，信息系統(tǒng)資金方面的經(jīng)濟因素越來越多受到e、l、is、f的關(guān)注。甚至，對信息平安管理的關(guān)注超出了對信息平安技術(shù)的關(guān)注。信息平安管理是和組織戰(zhàn)略，組織文化，組織的高層管理和基層管理都有親密關(guān)系，是目前信息平安領(lǐng)域里最熱門的話題之一。在這樣的背景下，信息平安管理的標準越來越受到國際和國內(nèi)的重視。信息平安絕對不僅僅是技術(shù)的問題，它的解決涉及到規(guī)章制度、組織運行、技術(shù)應(yīng)用等方方面面，任何單方面平安的措施都不可能提供真正的全方位的平安，信息平安問題的解決更應(yīng)該站在系統(tǒng)工程的角度來考慮

3、。在這項系統(tǒng)工程中，信息平安管理占有重要的地位，信息平安管理體系標準確實立是信息平安管理的根底和前提。二、信息平安管理概述信息平安是一個多層次、多因素、綜合的動態(tài)過程，要求對信息系統(tǒng)和組織體系進展綜合考慮和統(tǒng)一規(guī)劃，同時要注意監(jiān)控系統(tǒng)內(nèi)外環(huán)境的變化，很可能某一環(huán)節(jié)上的平安缺陷就會對整個系統(tǒng)組織構(gòu)成威脅。美國國家標準技術(shù)組織，提出了信息平安由各種技術(shù)和非技術(shù)的要素連接在一起組成平安鏈的概念，攻擊者往往從最薄弱的環(huán)節(jié)打破如。因此信息平安是一個多層面、多因素、綜合的動態(tài)過程，是一個需要系統(tǒng)體系來保證的持續(xù)開展過程。假如憑一時的需要，對某些方面加強控制，而沒有整體全面的考慮，都難免存在顧此失彼的問題，

4、使信息平安鏈在某個薄弱環(huán)節(jié)斷裂。所以，信息平安管理是，用于指導(dǎo)、管理和控制信息平安風險的、一系列互相協(xié)調(diào)的活動，要盡可能做到，應(yīng)用有限的資源，保證平安“滴水不漏。三、信息平安管理標準介紹擁有全面的信息平安管理，政府和企業(yè)可以采用有效的機制，合理利用信息資源，管理與信息相關(guān)的風險，使得信息系統(tǒng)可以保持與戰(zhàn)略目的一致，推動業(yè)務(wù)開展。合理地應(yīng)用信息平安管理體系標準可以有效進步信息平安管理程度，滿足組織對信息系統(tǒng)應(yīng)用的高效、優(yōu)質(zhì)、可信和平安的需求，全面進步組織的綜合競爭才能。在信息平安管理領(lǐng)域各國的專家、各種的機構(gòu)，根據(jù)不同的方面平安管理的需求制定了眾多標準，下面介紹其中比擬典型的標準。1標準。199

5、3年6月，美國、加拿大及歐洲4國協(xié)商同意起草信息技術(shù)平安評估公共標準ltse(nfitedafinfratintehnialseurityevaluatin)，簡稱(1siel54081)，是國際標準化組織統(tǒng)一現(xiàn)有多種準那么的結(jié)果。1998年經(jīng)90認可成為國際標準(isie15408)。源于tse，但完全改良了tse，的主要思想和框架都取自itse(歐)和f(美)。標準，一方面可以支持產(chǎn)品(最終已在系統(tǒng)中安裝的產(chǎn)品)中平安特征的技術(shù)性評估，另一方面描繪了用戶對平安性的技術(shù)需求。然而，沒有包括對物理平安、行政管理措施、密碼機制要方面的評估，且仍然未能表達動態(tài)的平安要求。因此標準主要還是一套技術(shù)標

6、準。2bs-7799標準。bs7799標準是由英國標準協(xié)會(bsl)制定的信息平安管理標準，是國際上具有代表性的信息平安管理體系標準，包括：bs77991：1999(信息平安管理施行細那么)是組織建立并施行信息平安管理體系的一個指導(dǎo)性的準那么，bs7799-2：2002以bs77991：1999為指南，詳細說明按照pda模型，建立、施行及文件化信息平安管理體系(1ss)的要求。isiel7799-2：2022年第2版的改版中，最主要的變動是以層次構(gòu)造化形式提供：信息平安策略、信息平安的組織構(gòu)造、資產(chǎn)管理、人力資源平安、物理和環(huán)境平安、通信和運行管理、訪問控制、信息系統(tǒng)采購、開發(fā)和維護、信息平安

7、事故管理、業(yè)務(wù)持續(xù)性管理、符合性這11個平安控制章節(jié)，還有39個主要平安類和133個詳細控制措施，以標準組織機構(gòu)信息平安管理建立的內(nèi)容。3bit標準。美國信息系統(tǒng)審計與控制協(xié)會isaa協(xié)會的bit管理標準，是一個比擬完好的it審計和治理的框架，它為建立完善的信息系統(tǒng)控制和審計體系，提供了詳細的控制目的、施行方法和審計指南等。2022年，已更新為第四版。新版本的bit更加關(guān)注組織戰(zhàn)略和效果評估，從4個方面：p(planningrganizatin)、ai(aquisitinipleentatin)、ds(deliverysupprt)和e(nitringevaluatin)對信息系統(tǒng)進展管理和控

8、制，可進一步細分為34個管理流程。4itil標準。該標準由由英國政府部門ta于20世紀80年代末制訂，2001年英國國家標準協(xié)會(bsi)正式發(fā)布了基于itil的標準bsl5000，2002年此標準為國際標準化組織(is)所承受。其內(nèi)容描繪的是，it部門應(yīng)該包含的各個工作流程以及各個工作流程之間的互相關(guān)系。itil提供了以效勞支持和效勞提供為核心的、包括規(guī)劃施行效勞管理、業(yè)務(wù)視野、it根底設(shè)施管理、平安管理和應(yīng)用管理7個模塊在內(nèi)的標準化信息技術(shù)效勞。在itil框架中，平安管理，作為組織機構(gòu)進展it效勞的一個組成局部，專門進展了討論。因此，信息平安管理是itil框架的一個有機組成局部，它對標準化

9、信息技術(shù)效勞、保障信息技術(shù)效勞有重要的意義。5isiel3335標準。這套標準提供了平安管理的根本概念、模型以及風險管理理論等內(nèi)容，它可以用于指導(dǎo)如何實現(xiàn)it平安管理。isiel3335標準由5個系列標準組成：isiel33351：2022?it平安的概念與模型?；isiel33352：1997(it平安管理與籌劃?；isiel33353：1998?it平安管理技術(shù)?；isiel33354：2000?防護措施的選擇?；isiel33355：2001網(wǎng)絡(luò)平安管理指南?。isiel3335標準關(guān)注組織的平安，對平安管理的過程和風險分析有非常細致的描繪。在平安管理理論中有參考價值。6sse標準。系統(tǒng)

10、平安工程一成熟度模型，sse(systeseurityeneineeringapabilityaturitydel)模型是在系統(tǒng)平安工程這個詳細領(lǐng)域應(yīng)用而產(chǎn)生的一個分支，是美國國家平安局(nsa)指導(dǎo)開發(fā)的，是專門用于系統(tǒng)平安工程的才能成熟度模型。sse第一版于1996年10月出版，1999年4月，sse模型和相應(yīng)評估方法20版發(fā)布。2002年被國際標準化組織采納成為國際標準即isie21827：2002?信息技術(shù)系統(tǒng)平安工程一成熟度模型?。但是需要注意的是目前sse已經(jīng)更新為v30。7nist標準。美國國家標準和技術(shù)委員會(nist)負責為美國政府和商業(yè)機構(gòu)提供信息平安管理相關(guān)的標準標準。目

11、前，nistsp800系列成為了指導(dǎo)美國信息平安管理建立的主要標準和參考資料，成為美國和國際平安界得到廣泛認可的事實標準和權(quán)威指南。2022年，nistsp800系列最主要的開展是配合fis-a2002年的法案，建立以800-53等標準為核心的一系列認證和認可的標準指南。該標準，提供了平安控制的層次化、構(gòu)造化的控制措施要求：意識和培訓(xùn)，認證、認可和平安評估，配置管理，持續(xù)性規(guī)劃，事件響應(yīng)，維護，介質(zhì)保護，物理和環(huán)境保護，規(guī)劃，人員平安，風險評估，系統(tǒng)和效勞采購，系統(tǒng)和信息完好性這13個平安管理和運營控制族以及106個詳細控制措施。8我國的標準。1999年9月我國參照標準公布了國家標準?計算機信

12、息系統(tǒng)平安保護等級劃分準那么?gbl7859系列。2022年7月，國信辦啟動了信息平安管理相關(guān)標準的編制工作，2022年將出臺新的信息平安風險管理指南)。該標準，針對信息平安風險管理所涉及的對象確立、風險評估、風險控制、審核批準、溝通咨詢等不同過程進展了綜合性描繪并制定了標準，對信息平安風險管理在信息系統(tǒng)生命周期各階段的應(yīng)用作了系統(tǒng)闡述。四、綜合應(yīng)用信息平安是一門綜合的穿插學科。一套完善的信息平安管理體系，應(yīng)該包括標準化的信息平安管理內(nèi)容、以風險和策略為核心的控制方法、定性分析和定量度量的信息平安測評。同時，信息平安管理體系應(yīng)該可以將信息平安管理同信息系統(tǒng)審計、信息系統(tǒng)內(nèi)控體系、信息技術(shù)效勞體

13、系互相結(jié)合，形成有平安保障的信息系統(tǒng)運行維護管理體系，以真正到達保護組織機構(gòu)的信息和信息資產(chǎn)平安，保證業(yè)務(wù)持續(xù)性要求。做好信息平安管理工作，要對組織戰(zhàn)略、組織文化、業(yè)務(wù)流程、外部環(huán)境、技術(shù)應(yīng)用展開全方位的、深度的討論，以期重新認識it的定位、作用和價值，共同促進建立高效益的、可持續(xù)開展的信息化。作為全球公認的bs7799標準、bit標準、itil標準、13335標準、sse-標準綜合應(yīng)用可幫助我們做好信息平安管理工作。然而，這些標準并不是靈丹妙藥，它們的應(yīng)用必須與組織的實際需要相結(jié)合，才可能產(chǎn)生良好效果。在信息平安管理中，每個組織都需要整合一系列標準，綜合應(yīng)用來適應(yīng)自己的需要。在管理理論中可按

14、如下步驟進展：1建立系統(tǒng)的框架，作為為信息平安管理的開場，明確目的、責任和對象。2將it戰(zhàn)略和組織目的組成聯(lián)盟，正確理解業(yè)務(wù)環(huán)境、風險偏好、組織戰(zhàn)略和it建立的關(guān)系。包括：應(yīng)用bit標準確定it目的；應(yīng)用sse標準定義軟件開發(fā)的需求；應(yīng)用itil標準定義最終用戶的需求。3理解和定義風險，在給定的業(yè)務(wù)目的下，明確防范哪些it風險。要理解信息系統(tǒng)過去和當前的狀況，信息系統(tǒng)的規(guī)模和復(fù)雜程度，當前it環(huán)境內(nèi)部的薄弱環(huán)節(jié)，信息系統(tǒng)的變動等。包括：應(yīng)用bit標準定義風險控制；應(yīng)用sse標準去除軟件設(shè)計的風險；應(yīng)用itil標準去除操作風險；應(yīng)用is17799標準去除平安風險。4定義風險管理的目的。包括：應(yīng)用

15、bit標準定義根底框架；應(yīng)用sse標準定義軟件消費過程；應(yīng)用itil標準定義主要的效勞程序；應(yīng)用is17799標準定義平安目的。5分析當前的平安才能，尋找最值得改良的地方。包括：應(yīng)用bit標準做根底分析；應(yīng)用sse、itil、1s017799標準做細節(jié)分析。6施行改良戰(zhàn)略，通過關(guān)注主要的it流程和組織的核心競爭才能來確定最有效的改良措施。包括：應(yīng)用-bit標準定義控制目的；應(yīng)用sse、itil、is17799標準支持施行細節(jié)。7評估結(jié)果，對當前的狀況和改良后的效果建立一個可量化的評估機制。從如下幾方面評估信息平安管理效果：(1)信息系統(tǒng)是否支持組織戰(zhàn)略?(2)信息系統(tǒng)風險管理的責任是否由組織相應(yīng)部門承當?(3)信息系統(tǒng)是否能平安有效的支持關(guān)鍵的信息流程?(4)組織中的有關(guān)人員是否明確平安管理的規(guī)定和目的?應(yīng)用bit標準：在平安管理的應(yīng)用理論中重復(fù)2步7步如圖。在信息平安管理的理論中，同時要注意：1信息平安管理要有明確的目的，并同組織戰(zhàn)略相結(jié)合。2信息平安管理是一個持續(xù)循環(huán)的過程，不