计算机应用 | 古代文学 | 市场营销 | 生命科学 | 交通物流 | 财务管理 | 历史学 | 毕业 | 哲学 | 政治 | 财税 | 经济 | 金融 | 审计 | 法学 | 护理学 | 国际经济与贸易
计算机软件 | 新闻传播 | 电子商务 | 土木工程 | 临床医学 | 旅游管理 | 建筑学 | 文学 | 化学 | 数学 | 物理 | 地理 | 理工 | 生命 | 文化 | 企业管理 | 电子信息工程
计算机网络 | 语言文学 | 信息安全 | 工程力学 | 工商管理 | 经济管理 | 计算机 | 机电 | 材料 | 医学 | 药学 | 会计 | 硕士 | 法律 | MBA
现当代文学 | 英美文学 | 通讯工程 | 网络工程 | 行政管理 | 公共管理 | 自动化 | 艺术 | 音乐 | 舞蹈 | 美术 | 本科 | 教育 | 英语 |

信息安全管理标准及综合应用(1)(2)

2014-08-14 01:40
导读:6.SSE—CMM标准。系统 安全工程 一成熟度模型,SSE—CMM(SystemSecurityEneineeringCapabilityMaturityModel)模型是CMM在系统安全工程这个具体领域应用而产生的一个分支
  6.SSE—CMM标准。系统安全工程一成熟度模型,SSE—CMM(SystemSecurityEneineeringCapabilityMaturityModel)模型是CMM在系统安全工程这个具体领域应用而产生的一个分支,是美国国家安全局(NSA)领导开发的,是专门用于系统安全工程的能力成熟度模型。SSE—CMM第一版于1996年10月出版,1999年4月,SSE—CMM模型和相应评估方法2.0版发布。2002年被国际标准化组织采纳成为国际标准即ISO/IEC21827:2002《信息技术系统安全工程一成熟度模型》。但是需要注意的是目前SSE—CMM已经更新为V3.0。
  7.NIST标准。美国国家标准和技术委员会(NIST)负责为美国政府和商业机构提供信息安全管理相关的标准规范。目前,NIST SP 800系列成为了指导美国信息安全管理建设的主要标准和参考资料,成为美国和国际安全界得到广泛认可的事实标准和权威指南。
  2005年,NISTSP 800系列最主要的发展是配合FIS-MA 2002年的法案,建立以800--53等标准为核心的一系列认证和认可的标准指南。该标准,提供了安全控制的层次化、结构化的控制措施要求:意识和培训,认证、认可和安全评估,配置管理,持续性规划,事件响应,维护,介质保护,物理和环境保护,规划,人员安全,风险评估,系统和服务采购,系统和信息完整性这13个安全管理和运营控制族以及106个具体控制措施。
  8.我国的标准。1999年9月我国参照CC标准颁布了国家标准《计算机信息系统安全保护等级划分准则》GBl7859系列。
  2003年7月,国信办启动了信息安全管理相关标准的编制工作,2006年将出台新的<信息安全风险管理指南)。该标准,针对信息安全风险管理所涉及的对象确立、风险评估、风险控制、审核批准、沟通咨询等不同过程进行了综合性描述并制定了规范,对信息安全风险管理在信息系统生命周期各阶段的应用作了系统阐述。
(科教作文网http://zw.ΝsΕAc.Com编辑整理)

  
  四、综合应用
  
  信息安全是一门综合的交叉学科。一套完善的信息安全管理体系,应该包括规范化的信息安全管理内容、以风险和策略为核心的控制方法、定性分析和定量度量的信息安全测评。同时,信息安全管理体系应该能够将信息安全管理同信息系统审计、信息系统内控体系、信息技术服务体系相互结合,形成有安全保障的信息系统运行维护管理体系,以真正达到保护组织机构的信息和信息资产安全,保证业务持续性要求。
  做好信息安全管理工作,要对组织战略、组织文化、业务流程、外部环境、技术应用展开全方位的、深度的探讨,以期重新认识IT的定位、作用和价值,共同促进建设高效益的、可持续发展的信息化。作为全球公认的BS7799标准、COBIT标准、ITIL标准、13335标准、SSE-CMM标准综合应用可帮助我们做好信息安全管理工作。
  然而,这些标准并不是灵丹妙药,它们的应用必须与组织的实际需要相结合,才可能产生良好效果。在信息安全管理中,每个组织都需要整合一系列标准,综合应用来适应自己的需要。在管理实践中可按如下步骤进行:
  1.建立系统的框架,作为为信息安全管理的开始,明确目标、责任和对象。
  2.将IT战略和组织目标组成联盟,正确理解业务环境、风险偏好、组织战略和IT建设的关系。包括:应用COBIT标准确定IT目标;应用SSE—CMM标准定义软件开发的需求;应用ITIL标准定义最终用户的需求。
  3.理解和定义风险,在给定的业务目标下,明确防范哪些IT风险。要了解信息系统过去和当前的状况,信息系统的规模和复杂程度,当前IT环境内部的薄弱环节,信息系统的变动等。包括:应用COBIT标准定义风险控制;应用SSE—CMM标准清除软件设计的风险;应用ITIL标准清除操作风险;应用ISO17799标准清除安全风险。 (科教论文网 lw.nseaC.Com编辑发布)
  4.定义风险管理的目标。包括:应用COBIT标准定义基础框架;应用SSE—CMM标准定义软件生产过程;应用ITIL标准定义主要的服务程序;应用ISO17799标准定义安全目标。
  5.分析当前的安全能力,寻找最值得改进的地方。包括:应用COBIT标准做基础分析;应用SSE—CMM、ITIL、1S017799标准做细节分析。
  6.实施改进战略,通过关注主要的IT流程和组织的核心竞争能力来确定最有效的改进措施。包括:应用CO-BIT标准定义控制目标;应用SSE—CMM、ITIL、ISO17799标准支持实施细节。
  7.评估结果,对当前的状况和改进后的效果建立一个可量化的评估机制。
  从如下几方面评估信息安全管理效果:(1)信息系统是否支持组织战略?(2)信息系统风险管理的责任是否由组织相应部门承担?(3)信息系统是否能安全有效的支持关键的信息流程?(4)组织中的有关人员是否明确安全管理的规定和目标?
  应用COBIT标准:在安全管理的应用实践中重复2步~7步如图。
  
  在信息安全管理的实践中,同时要注意:
  1.信息安全管理要有明确的目标,并同组织战略相结合。
  2.信息安全管理是一个持续循环的过程,不可能一挥而就。
  3.信息安全管理的实施要和组织文化相吻合。
  4.信息安全管理要得到高层领导,尤其是一把手的支持。
  
  参考文献;
  1.Dr Walter Fumy.Network Security.IT secu-rity standardization,2004,(12):6-11.
  2.冯登国,张阳,张玉清.信息安全风险评估综述.通信学报,2004,(7):10-18.
  3.孙强,陈伟大,王东红.信息安全管理.北京:清华大学出版社,2004:39-41.
  4.范红.国家信息安全风险评估标准编制和试点工作进展.信息技术与标准化,2005,(7):12-14. (转载自http://zw.NSEAC.com科教作文网)

共2页: 2

论文出处(作者):
上一篇:供应链管理中信息共享的意愿冲突问题(1) 下一篇:分析着力提升新形势下的工商管理领导能力