國家認(rèn)證認(rèn)可監(jiān)督委員會批準(zhǔn)認(rèn)證咨詢機構(gòu)
批準(zhǔn)號:CNCA-Z-01Q-2006-038
聯(lián)系電話
全國:010-56542716
天津:022-27810977
國家認(rèn)證認(rèn)可監(jiān)督委員會批準(zhǔn)認(rèn)證咨詢機構(gòu)
批準(zhǔn)號:CNCA-Z-01Q-2006-038
全國:010-56542716
天津:022-27810977
常見問題&知識園地
本文依據(jù)信息安全的特性和管理的方法提出一個新的ISO27001信息安全管理模型,,如下圖所示,。該模型由信息安全策略、安全保護措施,、檢測,、補救組成的一個循環(huán)鏈和信息安全管理中心兩部分組成,其中信息安全管理中心是整個系統(tǒng)的核心,。循環(huán)鏈中的每一個環(huán)節(jié)都要定期地與信息安全管理中心進行安全信息交互,,當(dāng)信息安全管理中心認(rèn)為有必要對組織的安全目標(biāo)進行修改時,要向高層管理匯報,。高層管理再對安全目標(biāo)進行最終的定奪,。
信息安全管理模型
新的信息安全管理模型的具體實施過程如下:
(1)組織根據(jù)商業(yè)運作流程將其信息系統(tǒng)劃分成不同的安全域。然后,,組織運用定性與定量相結(jié)合的綜合評估方法對所有的安全域進行信息安全風(fēng)險分析與評估,,并將評估結(jié)果文檔化。最后,,組織依據(jù)信息安全風(fēng)險評估結(jié)果建立基于ART2神經(jīng)網(wǎng)絡(luò)的動態(tài)風(fēng)險管理系統(tǒng),。
(2)組織根據(jù)風(fēng)險分析與評估的結(jié)果、安全目標(biāo),、商業(yè)目標(biāo)制定最優(yōu)的信息安全策略,,并把信息安全策略存儲到知識庫中,建立基于知識庫的信息安全策略管理系統(tǒng),。
(3) 組織根據(jù)信息安全策略選擇并實施安全保護措施,。隨著安全技術(shù)和安全產(chǎn)品的改進,,這些安全保護措施也要不定期地更換,。但更換后的保護措施仍然要遵循相應(yīng)的信息安全策略。同時組織還要對其職員進行安全教育與培訓(xùn),,并根據(jù)職員的不同角色為其制定不同的安全職責(zé),。每個職員都要制定一份個人年度信息安全計劃,,并按照計劃進行工作,年底時要對安全計劃的執(zhí)行情況進行檢查,。
(4)對信息系統(tǒng)進行安全保護以后并不能完全消除信息安全風(fēng)險,,所以要定期地監(jiān)控整個信息系統(tǒng)以發(fā)現(xiàn)不正常的活動。組織可以建立基于 Agent 的信息安全監(jiān)控系統(tǒng),,實現(xiàn)對信息系統(tǒng)的實時監(jiān)控,。
(5)當(dāng)信息系統(tǒng)被入侵成功并遭到破壞后,組織可以采取相應(yīng)的補救措施,,使得組織的商業(yè)過程可以正常進行,,并重新進行風(fēng)險分析與評估,增加或更改原有的信息安全保護措施,。在信息系統(tǒng)正常運行時,,組織就要定期地對系統(tǒng)進行備份。
(6)信息安全管理中心是組織必須成立的一個安全管理部門,,負(fù)責(zé)實施和監(jiān)控整個信息安全管理體系,。信息安全管理模型中的每一個環(huán)節(jié)都必須與信息安全管理中心進行信息交互。當(dāng)某一個環(huán)節(jié)發(fā)現(xiàn)新的安全需求時,, 便立刻向信息安全管理中心匯報,。信息安全管理中心在分析其它三個環(huán)節(jié)的運作情況的基礎(chǔ)上,對整個信息安全系統(tǒng)各個環(huán)節(jié)進行調(diào)整,,并在必要時與高層管理進行信息交互,,決定是否有必要對組織機構(gòu)的信息安全目標(biāo)進行調(diào)整。最高管理層則通過信息安全管理中心全面準(zhǔn)確地掌握系統(tǒng)的安全狀況,。
信息安全管理中心還具有評價信息安全管理體系運作情況的功能,。在實施信息安全管理的過程中,人是一個很重要的因素,。如果組織機構(gòu)中的人員對安全方針,、安全制度和安全措施不滿意,信息安全管理體系就很難達到它預(yù)期的目標(biāo),。所以,,信息安全管理中心會利用問題表對安全方針、安全制度和安全措施的實施結(jié)果進行調(diào)查,, 并分析這些安全舉措對組織機構(gòu)的影響,,然后提出相應(yīng)的改進方案。
該模型體現(xiàn)了以下信息安全管理原則:
信息安全策略的制定和安全保護措施的選擇建立在風(fēng)險評估的基礎(chǔ)上,;
考慮安全控制費用與風(fēng)險平衡的原則,,將風(fēng)險降至組織可以接受的水平;
預(yù)防控制為主的思想原則;
商務(wù)持續(xù)性原則,,即從故障與災(zāi)難中恢復(fù)商務(wù)運作,,減少故障與災(zāi)難對關(guān)鍵商務(wù)過程的影響;
動態(tài)管理原則,,即對風(fēng)險實施動態(tài)管理,;
全員參與的原則。
與原有的信息安全管理模型相比,,新的信息安全管理模型具有如下優(yōu)點:
充分體現(xiàn)了對信息安全的管理,,而且有一個專門的信息安全管理中心用于對組織的信息安全進行協(xié)調(diào)和規(guī) 劃。
具有動態(tài)性,,能及時適應(yīng)信息環(huán)境和信息技術(shù)的變化,,并對信息安全策略和安全保護措施進行改善。
可行性高,,對組織的規(guī)模,、資金沒有具體的要求。任何組織都可以在其內(nèi)部實施該信息安全管理模型,,以實現(xiàn)其安全目標(biāo),。
模型中的四個模塊之間連接緊密,循環(huán)性好,,信息流動也快,。通過四個模塊的循環(huán)和信息安全管理中心的管 理,組織的信息系統(tǒng)的安全性可以不斷地得到提高,。
總之,,該新的信息安全管理模型在綜合運用現(xiàn)有的信息安全管理標(biāo)準(zhǔn)、管理方法,、安全技術(shù)的基礎(chǔ)上克服了以往信息安全管理模型的缺點,,實現(xiàn)了信息的保密性、完整性,、可用性,。
關(guān)注卓越空間
關(guān)注卓越微博
關(guān)注卓越微信