企业战略-信息安全管理标准及综合应用

1、.：.； 文档资源摘要：人们对信息网络的依赖日益加强，信息平安管理成了严重的问题。信息平安管理是一个复杂的系统工程必需遵照一定的规范。文章引见了国内外主要的信息平安管理相关规范的内容和开展，并对其进展比较；描画了综合运用几种主要规范进展信息平安管理的过程和方法；得出了信息平安管理规范的合理运用，要开掘组织(政府或企业)的真正需求，结合组织战略，对现有规范进展整合，综合运用，才干获得良好效果的结论。关键词：信息平安管理；规范；运用 一、引言 随着Intemet运用的不断深化和电子商务、电子政务的不赠f开展，人们在日常生活、经济、军事、科技与教育等各个领域，对信息和信息系统依赖日益加强。然而，平安

2、不断是信息系统面临的严重问题。早期，信息平安关注于技术方面，如：加密算法、访问控制、入侵检测等，最近，信息平安的风险管理，信息系统资金方面的经济要素越来越多遭到CEO、ClO、CISO、CFO的关注。甚至，对信息平安管理的关注超出了对信息平安技术的关注。信息平安管理是和组织战略，组织文化，组织的高层管理和基层管理都有亲密关系，是目前信息平安领域里最抢手的话题之一。在这样的背景下，信息平安管理的规范越来越遭到国际和国内的注重。 信息平安绝对不仅仅是技术的问题，它的处理涉及到规章制度、组织运转、技术运用等方方面面，任何一方面平安的措施都不能够提供真正的全方位的平安，信息平安问题的处理更应该站在系统

3、工程的角度来思索。在这项系统工程中，信息平安管理占有重要的位置，信息平安管理体系规范确实立是信息平安管理的根底和前提。 二、信息平安管理概述 信息平安是一个多层次、多要素、综合的动态过程，要求对信息系统和组织体系进展综合思索和一致规划，同时要留意监控系统内外环境的变化，很能够某一环节上的平安缺陷就会对整个系统组织构成要挟。美国国家规范技术组织，提出了信息平安由各种技术和非技术的要素衔接在一同组成平安链的概念，攻击者往往从最薄弱的环节突破如。 因此信息平安是一个多层面、多要素、综合的动态过程，是一个需求系统体系来保证的继续开展过程。假设凭一时的需求，对某些方面加强控制，而没有整体全面的思索，都难

4、免存在顾此失彼的问题，使信息平安链在某个薄弱环节断裂。所以，信息平安管理是，用于指点、管理和控制信息平安风险的、一系列相互协调的活动，要尽能够做到，运用有限的资源，保证平安“滴水不漏。 三、信息平安管理规范引见 拥有全面的信息平安管理，政府和企业可以采用有效的机制，合理利用信息资源，管理与信息相关的风险，使得信息系统可以坚持与战略目的一致，推进业务开展。合理地运用信息平安管理体系规范可以有效提高信息平安管理程度，满足组织对信息系统运用的高效、优质、可信和平安的需求，全面提高组织的综合竞争才干。在信息平安管理领域各国的专家、各种的机构，根据不同的方面平安管理的需求制定了众多规范，下面引见其中比较

5、典型的规范。 1CC规范。1993年6月，美国、加拿大及欧洲4国协商赞同起草信息技术平安评价公共规范CClTSE(commoncfiteda Of information technical security evaluation)，简称CC(1SOIECl54081)，是国际规范化组织一致现有多种准那么的结果。1998年经90认可成为国际规范(ISOIEC15408)。 CC源于TCSEC，但完全改良了TCSEC，的主要思想和框架都取自ITSEC(欧)和FC(美)。 CC规范，一方面可以支持产品(最终已在系统中安装的产品)中平安特征的技术性评价，另一方面描画了用户对平安性的技术需求。然而，C

6、C没有包括对物理平安、行政管理措施、密码机制要方面的评价，且依然未能表达动态的平安要求。因此CC规范主要还是一套技术规范。 2BS-7799规范。BS7799规范是由英国规范协会(BSl)制定的信息平安管理规范，是国际上具有代表性的信息平安管理体系规范，包括：BS77991：1999(信息平安管理实施细那么)是组织建立并实施信息平安管理体系的一个指点性的准那么，BS7799-2：2002以BS77991：1999为指南，详细阐明按照PDCA模型，建立、实施及文件化信息平安管理体系(1SMS)的要求。 ISOIECl7799-2：2005年第2版的改版中，最主要的变动是以层次构造化方式提供：信息

7、平安战略、信息平安的组织构造、资产管理、人力资源平安、物理和环境平安、通讯和运转管理、访问控制、信息系统采购、开发和维护、信息平安事故管理、业务继续性管理、符合性这11个平安控制章节，还有39个主要平安类和133个详细控制措施，以规范组织机构信息平安管理建立的内容。 3COBIT规范。美国信息系统审计与控制协会ISACA协会的COBIT管理规范，是一个比较完好的IT审计和治理的框架，它为建立完善的信息系统控制和审计体系，提供了详细的控制目的、实施方法和审计指南等。2005年，已更新为第四版。 新版本的COBIT更加关注组织战略和效果评价，从4个方面：PO(Planning&Organizati

8、on)、AI(Acquisition&Implementation)、DS(Delivery&Support)和ME(MonitoringEvaluation)对信息系统进展管理和控制，可进一步细分为34个管理流程。 4ITIL规范。该规范由由英国政府部门CCTA于20世纪80年代末制定，2001年英国国家规范协会(BSI)正式发布了基于ITIL的规范BSl5000，2002年此规范为国际规范化组织(ISO)所接受。 其内容描画的是，IT部门应该包含的各个任务流程以及各个任务流程之间的相互关系。ITIL提供了以效力支持和效力提供为中心的、包括规划实施效力管理、业务视野、ICT根底设备管理、平安

9、管理和运用管理7个模块在内的规范化信息技术效力。 在ITIL框架中，平安管理，作为组织机构进展IT效力的一个组成部分，专门进展了讨论。因此，信息平安管理是ITIL框架的一个有机组成部分，它对规范化信息技术效力、保证信息技术效力有重要的意义。 5ISOIECl3335规范。这套规范提供了平安管理的根本概念、模型以及风险管理实际等内容，它可以用于指点如何实现IT平安管理。ISOIECl3335规范由5个系列规范组成：ISOIECl33351：2004；ISOIECl33352：1997(IT平安管理与谋划；ISOIECl33353：1998；ISOIECl33354：2000；ISOIECl333

10、55：2001。 ISOIECl3335规范关注组织的平安，对平安管理的过程和风险分析有非常细致的描画。在平安管理实际中有参考价值。 6SSECMM规范。系统平安工程一成熟度模型，SSECMM(SystemSecurityEneineeringCapabilityMaturityModel)模型是CMM在系统平安工程这个详细领域运用而产生的一个分支，是美国*局(NSA)指点开发的，是专门用于系统平安工程的才干成熟度模型。SSECMM第一版于1996年10月出版，1999年4月，SSECMM模型和相应评价方法20版发布。2002年被国际规范化组织采用成为国际规范即ISOIEC21827：2002

11、。但是需求留意的是目前SSECMM曾经更新为V30。 7NIST规范。美国国家规范和技术委员会(NIST)担任为美国政府和商业机构提供信息平安管理相关的规范规范。目前，NIST SP 800系列成为了指点美国信息平安管理建立的主要规范和参考资料，成为美国和国际平安界得到广泛认可的现实规范和权威指南。 2005年，NISTSP 800系列最主要的开展是配合FIS-MA 2002年的法案，建立以800-53等规范为中心的一系列认证和认可的规范指南。该规范，提供了平安控制的层次化、构造化的控制措施要求：认识和培训，认证、认可和平安评价，配置管理，继续性规划，事件呼应，维护，介质维护，物理和环境维护，

12、规划，人员平安，风险评价，系统和效力采购，系统和信息完好性这13个平安管理和运营控制族以及106个详细控制措施。 8我国的规范。1999年9月我国参照CC规范公布了国家规范GBl7859系列。 2003年7月，国信办启动了信息平安管理相关规范的编制任务，2006年将出台新的信息平安风险管理指南)。该规范，针对信息平安风险管理所涉及的对象确立、风险评价、风险控制、审核同意、沟通咨询等不同过程进展了综合性描画并制定了规范，对信息平安风险管理在信息系统生命周期各阶段的运用作了系统论述。 四、综合运用 信息平安是一门综合的交叉学科。一套完善的信息平安管理体系，应该包括规范化的信息平安管理内容、以风险和

13、战略为中心的控制方法、定性分析和定量度量的信息平安测评。同时，信息平安管理体系应该可以将信息平安管理同信息系统审计、信息系统内控体系、信息技术效力体系相互结合，构成有平安保证的信息系统运转维护管理体系，以真正到达维护组织机构的信息和信息资产平安，保证业务继续性要求。 做好信息平安管理任务，要对组织战略、组织文化、业务流程、外部环境、技术运用展开全方位的、深度的讨论，以期重新认识IT的定位、作用和价值，共同促进建立高效益的、可继续开展的信息化。作为全球公认的BS7799规范、COBIT规范、ITIL规范、13335规范、SSE-CMM规范综合运用可协助 我们做好信息平安管理任务。 然而，这些规范

14、并不是灵丹妙药，它们的运用必需与组织的实践需求相结合，才能够产生良好效果。在信息平安管理中，每个组织都需求整合一系列规范，综合运用来顺应本人的需求。在管理实际中可按如下步骤进展： 1建立系统的框架，作为为信息平安管理的开场，明确目的、责任和对象。 2将IT战略和组织目的组成联盟，正确了解业务环境、风险偏好、组织战略和IT建立的关系。包括：运用COBIT规范确定IT目的；运用SSECMM规范定义软件开发的需求；运用ITIL规范定义最终用户的需求。 3了解和定义风险，在给定的业务目的下，明确防备哪些IT风险。要了解信息系统过去和当前的情况，信息系统的规模和复杂程度，当前IT环境内部的薄弱环节，信息

15、系统的变动等。包括：运用COBIT规范定义风险控制；运用SSECMM规范去除软件设计的风险；运用ITIL规范去除操作风险；运用ISO17799规范去除平安风险。 4定义风险管理的目的。包括：运用COBIT规范定义根底框架；运用SSECMM规范定义软件消费过程；运用ITIL规范定义主要的效力程序；运用ISO17799规范定义平安目的。 5分析当前的平安才干，寻觅最值得改良的地方。包括：运用COBIT规范做根底分析；运用SSECMM、ITIL、1S017799规范做细节分析。 6实施改良战略，经过关注主要的IT流程和组织的中心竞争才干来确定最有效的改良措施。包括：运用CO-BIT规范定义控制目的；运用SSECMM、ITIL、ISO17799规范支持实施细节。 7评价结果，对当前的情况和改良后的效果建立一个可量化的评价机制。 从如下几方面评价信息平安管理效果：(1