ITPub博客

首页 > 大数据 > 数据挖掘 > 信息安全保障体系框架模型

信息安全保障体系框架模型

数据挖掘 作者:chnlvyan 时间:2012-04-12 11:26:00 0 删除 编辑

  如何建立信息安全保障框架?国内外有哪些标准或者指南可以参考?这是建立一个合理的信息安全保障体系框架的基础。当前有很多非常好的综合性标准与规范可以参考,其中非常有名的就是iso/iec27000系列标准。iso/iec 27001通过pdca过程(即戴明环),指导企业如何建立可持续改进的体系。

  其次, 美国国家安全局提出的信息保障技术框架(information assurance technical framework,iatf)是另一个可以参照的有效框架。iatf创造性地提出了信息保障依赖于人、技术和操作来共同实现组织职能和业务运作的思想,对技术和信息基础设施的管理也离不开这三个要素。iatf认为,稳健的信息保障状态意味着信息保障的策略、过程、技术和机制在整个组织的信息基础设施的所有层面上都能得以实施。

  此外,bs25999提出业务连续性是一个企业业务保障的重要方法,iscaca组织的信息系统审计师cisa教程认为it审计是保障组织建立有效控制的重要手段等等。

  企业如何综合利用这么多的理论框架,建立适合于自身的信息安全保障体系?依据作者的多年经验,认为一个企业可以按照如图1“企业信息安全保障框架”所示的框架进行建设:

  信息安全保障应当建立纵深防御体系,什么是纵?什么是深?如图1所示,纵的是有三个层面(事前、事中、事后)全面控制;深的是从五个方向(安全组织体系、安全制度体系、安全运行体系、安全技术体系、安全应急体系)进行深入防御。

制度

  1. 1

      把信息安全好的做法固化下来形成规则,就是制度。因此,信息安全制度是组织中信息安全行为准则。信息安全保障体系只有做到制度化、规范化才能更好地保证事前预防、事中监控、和事后审计等安全措施的执行与落实。

    END

  1. 1

      正如信息安全这四个字所表现一样,以保护信息为其最重要的目的。那么就应当对信息安全事件发生的之前、之中和之后进行有效控制。即以预防控制为主,但是也不能忽略操作性控制和恢复性控制。因此,应当从信息的事前预防、事中监控和事后恢复三个层面建设信息安全。

    END

  1. 1

      信息安全涉及的领域非常广,以人员、硬件、数据、软件等方面都会涉及。我们需要对从组织体系、制度体系、技术体系、运行体系、应急体系五个方面的深度进行概括。

    END

组织

  1. 1

      人是实施信息安全的最关键的因素,人控制好了,信息安全就控制

      好了。因此成立一个合理和有效的安全组织架构,对于保证安全日常运行是最重要的。建立一个成功的信息安全组织体系有很多关键环节,但是组织高级管理层的参与、安全纳入绩效考核、人员信息安全意识与技能培训是必不可少的成功因素。

    END

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/21178173/viewspace-1113509/,如需转载,请注明出处,否则将追究法律责任。

上一篇: 没有了~
下一篇: 没有了~
请登录后发表评论 登录
全部评论

注册时间:2009-03-22