isms-站在组织战略高度部署信息安全new

isms-站在组织战略高度部署信息安全new

ID:34453932

大小:149.45 KB

页数:4页

时间:2019-03-06

isms-站在组织战略高度部署信息安全new_第1页
isms-站在组织战略高度部署信息安全new_第2页
isms-站在组织战略高度部署信息安全new_第3页
isms-站在组织战略高度部署信息安全new_第4页
资源描述:

《isms-站在组织战略高度部署信息安全new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全标准化专栏中国标准化2007.4谢宗晓信息安全是动态的过程,而不是一劳永逸的状态。如何使组织的信息在较长的时间内保证安全?毫无疑问,ISMS目前已经成为国内外业界主流的手段之一。ISMS(InformationSecurityManagementSys-tem,即信息安全管理体系),正如其名称所表述的含义,就是关于信息安全的管理体系。在图1资产保护投入与组织盈利能力示意ISO/IEC27001:2005中定义如下:信息安全管理体系是整个管理体系的一部分。它是基于业务风险方法,组织的盈利能力也达到最强,但是在此基础上加大资来建立、实施、运行、监

2、视、评审、保持和改进信息安全产保护的投入,一般不会再增加组织的盈利能力,反的。管理体系包括组织结构、方针策略、规划活动、职而由于成本的增加,导致盈利能力的下降。责、实践、程序、过程和资源。到底应该在信息安全上投入多少,目前并没有统信息安全管理体系(下文中简称ISMS)的概念已一的方法来确定。根据CSI(ComputerSecurity经跳出了传统的“为了安全信息而信息安全”的理解,Institute,计算机安全学会)和FBI(FederalBu-它强调的是基于业务风险方法来组织信息安全活动,reauofInvestigation,美国联邦调查局)在C

3、om-其本身只是组织整个管理体系的一部分。这就要求我puterCrimeandSecuritySurvey2005中统计,们站在全局的观点看待信息安全问题。在确定信息安全花费的成本效益时,38%的组织应用一、信息安全与组织盈利ROI(ReturnonInvestment,投资回报率),18%应站在组织的角度看,信息安全可以认为是组织的用NPV(NetPresentValue,净现金值),19%应用生产要素。根据AlfredMarshall在PrinciplesIRR(InternalRateofReturn,内部收益率)。ofEconomics(经济

4、学原理)中的论断:任何要素的二、信息安全手段的发展过程过分使用都会引起报酬递减。那么,对信息安全的投随着人们对信息安全的认识不断深入,信息安全入,一旦超过图1所示的临界点,盈利不但不会继续手段也在不断发展。Basievonsolms在2000年发增加,反而会呈递减的态势。如果我们把资产保护的表的论文Informationsecurity-thethird投入看作是组织盈利能力的函数。wave中,将信息安全的发展因三个标志性的飞跃划分为三个阶段:图1给出了资产保护投入与组织盈利能力的这技术浪潮(technicalwave)。这个阶段主要通过种函数关系。

5、技术手段保障信息的安全,例如访问控制、身份鉴别理清这种关系在组织的信息安全活动中是非常和口令等。这时人们没有认识到管理的重要性,信息重要的。我们可以看出:如果资产保护到达临界点时安全策略和信息安全意识等没有被考虑,相应的,人13万方数据信息安全标准化专栏中国标准化2007.4们认为信息安全是技术人员的责任,而不是需要全员ISO/IEC17799:信息安全管理使用规则和参与。ISO/IEC27001:信息安全管理体系要求,是这些标准管理浪潮(managementwave)。分布式计算和网中的杰出代表,ISMS概念本身也是来源于其前身络的发展使得高层管理

6、人员开始关注安全问题,关于BS7799。信息安全的文件化规定迅速发展起来,信息安全方结合信息安全制度浪潮的特点,我们来重新审视针、信息安全经历、信息安全架构等都成了重要的方ISO/IEC17799和ISO/IEC27001。面。比较技术控制阶段,这个阶段使得高层管理人员(1)ISO/IEC17799全面覆盖了信息安全实践中参与到信息安全中来,很多组织都设置了信息安全经所涉及的保护域,从最基本的安全方针到具体的技术理的职位。细节。组织可以按照标准的条目来对照“在实践中漏制度浪潮(institutionalwave)。随着发展,人掉了哪些方面”。们很自然

7、地关心自己的组织比起别的组织来信息安(2)ISO/IEC27001对ISMS的审核给出了一系列全活动是否成功?这就引发了第三次浪潮。其中包括的要求。如果组织通过ISO/IEC27001的符合性审核,了四个不同的方面:就是解决了“向合作伙伴证明组织信息安全”的问题。(1)信息安全标准化,或者遵守国际上信息安全虽然类似于ISO/IEC17799关于最佳实践和实用规则的最佳实践与控制措施集。标准可以解决用户“如何的标准很多,但是专门关于ISMS要求的标准,得知在实践中漏掉了哪些方面”。ISO/IEC27001目前是国际上唯一的。ISO/IEC27001(2

8、)信息安全认证。认证可以解决“怎么向合作伙的出现,使不同组织之间的信息安全有了可比较性。伴证明组织的信息安全

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。