国内外信息安全管理体系研究【实用文档】doc.doc
《国内外信息安全管理体系研究【实用文档】doc.doc》由会员分享,可在线阅读,更多相关《国内外信息安全管理体系研究【实用文档】doc.doc(26页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、国内外信息安全管理体系研究【实用文档】doc文档可直接使用可编辑,欢迎下载管理国内外信息安全管理体系研究高文涛( 广东电网公司惠州供电局,广东 惠州51601) 摘 要:该文对国内外主流的信息安全管理体系进行了梳理和研究,对不同体系的框架和内容进行探讨,为企业选择和建立适 合的、完善的信息安全管理体系提供有意义的借鉴。关键词:信息安全管理体系;风险分析;资产;等级保护Styon Information rity Maagemen AhitectueGUO ntoAbastract:In is paer, e iscuss dmesticandforiminstrea information s
2、cit mnagemet systeman exploe iffentysemof ramor andcntnfor trprise andtheestablshmenf a uitaeopin, prvide asoudinmation secrity mnaementsytemrefeene.Keywords:nformtion ecrty Mnagmn Ste;RiskAnalsis;Asst;Leel rotctin 概述信息安全管理体系是针对企业整体或特定范围内建立 信息安全方针和目标,以及完成这些目标所用方法的体系. 为了建立和维护信息安全管理体系,国内外出台了许多相 关的标准,在
3、这些标准中明确了确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基 础选择控制目标与控制方式等活动建立信息安全管理体系.目前国际上主流的信息系统管理体系的标准有IS/IC 的国际标准 99,英国标准协会(I)的799 系列,美国国家标准和技术委员会(NIS)的特别出版物N SP80系列;在我国,公安部出台了信息安全等级保护制度。本文将对这些主流的信息安全管理体系分别进行介绍。(2) 安全信息安全:建立企业内的管理体系以便安全管 理。内容包括企业内部信息安全责任;信息采集设施安全; 可被第三方利用的信息资产的安全;外部信息安全评审。 (3) 资产管理:利用资产清单,分类处理
4、,信息标签等对信息资产进行保护.2 IC179ISO/IE 17799是国际标准组织 S/IEC 所制定的国际标准.它建立了启动、实施、维护和改进信息安全管图1 SO/IEC 19 安全管理体系理的指导方针和通用原则,范围包括安全策略、信息安全(4) 人员资源安全:为了降低人为错误、窃取、欺骗组织机构、资产管理、人力资源安全、物理和环境安全、及滥用相关设施的风险,来确保使用者意识到信息安全的通信和运行管理、访问控制、系统的开发与维护、信息安威胁,采用签署保密协议;定期的安全教育培训;安全事全事故管理安全、业务持续性管理、符合性等 11 项安全故与教训总结;惩罚措施等减少人为造成的风险.控制内容
5、、39 个主要安全类和 13 个具体控制措施的信(5) 物理与环境安全:防止对关于 I 服务的未经许可息安全管理控制措施集合.ISO/IEC 1799充分体现了的介入,损伤和干扰服务;避免对信息及其处理设施的破三分技术、七分管理的思想。基于ISOE 7799 所建坏或窃取.立的安全管理体系如图 1所示.() 通信与操作管理:确保信息处理设备的正确和安(1) 安全策略:建立安全方针文档,为信息安全提供全的操作;降低系统失效的风险;保护软件和信息的完整管理方向和支持.性;维护信息处理和通讯的完整性和可用性;确保网络信9管理息的安全措施和支持基础结构的保护;防止资产被损坏和 风险评估:信息安全风险评
6、估的复杂程度将取决于风险的业务活动被干扰中断;防止企业间的交易信息遭受损坏, 复杂程度和受保护资产的敏感程度,所采用的评估措施应修改或误用。该与企业对信息资产风险的保护需求相一致;(4) 进行风() 访问控制:控制访问信息;阻止非法访问信息系 险管理 :根据风险评估的结果进行相应的风险管理,风统;确保网络服务得到保护;阻止非法访问计算机;检测 险管理的措施包括降低风险、避免风险、转嫁风险和接受非法行为;保证在使用笔记本电脑和远程网络设备时信息 风险;(5) 选择管理控制目标:选择原则是费用不超过风的安全。险所造成的损失;()准备适用性声明:适用性声明纪录(8)信息系统获取、开发与维护:确保信息
7、安全保护 了企业内相关的风险管制目标和针对每种风险所采取的各深入到操作系统中;阻止应用系统中的用户数据的丢失, 种控制措施.修改或误用;确保信息的保密性,可靠性和完整性;确保IT项目工程及其支持活动在安全的方式下进行;维护应用程序软件和数据的安全。(9) 信息安全事件管理:安全事故就是能导致资产丢失与损害的任何事件,为把安全事故的损害降到最低的程 度,追踪并从事件中吸取教训,企业应明确有关事故、故 障和薄弱点的部门,并根据安全事故与故障的反应过程建 立一个报告、反应、评价和惩戒的机制.(10) 持续运作规划:要降低对正常活动的阻碍与防止关键企业活动受到严重故障或灾害的影响. (11) 符合性:
8、避免违背刑法、民法、条例,遵守契约责任以及各种安全要求;确保信息安全管理体系符合安全方针和标准;使系统审查过程的绩效最大化,并将干扰因素降到最小.图 2建立信息安全管理体系的步骤BS7 信息安全管理体系强调风险管理的思想。基于风险管理的思想建立信息安全管理体系.首先对系统进 行全面的安全风险评估,在遵守国家有关信息安全的法律 法规的前提下,进行全过程的动态控制,本着控制费用与 风险平衡的原则合理选择保护方式,使信息风险的发生概率和结果降低到可接受收水平,确保信息的保密性、完整 性和可用性,保持企业业务运作的持续性。3 BS779B7799是由英国标准协会制定,共包含两部分,第 NS SP 80
9、0 系列一部分是信息安全管理导则 (BS7991),目前已成为国美国在信息安全管理方面,采用了系统分类分级实施际IS/IEC17799 国际标准;第二部分是信息安全管理保护的发展思路,并形成了体系化的标准和指南性文件。系统规范(BS7799-2),主要讨论了以 PDCA 过程方案美国国家标准和技术委员会(NIT)负责为美国政府和建设信息安全管理系统以及信息安全管理系统评估的内容。商业机构提供信息安全管理相关的标准规范。T 的一对于S77991,在第二节“IO/IEC 1799”已经有比系列FIPS 标准和 IST 特别出版物 80 系列(NI SP较详尽的介绍,在此不再赘述,下面主要介绍 B7
10、99。00系列)成为了指导美国信息安全管理建设的主要标准BS799-2是建立信息安全管理体系的一套规范,详和参考资料.细说明了建立、实施和维护信息安全管理系统的要求,根据系统分级保护的思想,首先对信息系统进行定级,指出企业需遵循某一风险评估来鉴定最适宜的控制对综合信息系统中的信息类型、信息的安全类别和系统的安象,并对企业内在的需求采取适当的控制。下面是根据全类别三方面要素对信息系统进行定级,目前有三种级S7799-2 建立信息安全管理体系的步骤:(1)定义信息别:低、中、高。然后根据所确定的级别,参照 NIS 的安全策略:信息安全策略是企业信息安全的最高方针,需SP8053联邦信息系统推荐安全
11、控制根据不同级别要根据企业内各个部门的实际情况,分别制订不同的信息系统设置的不同强度的安全控制集选择对应的保护措施。安全策略;(2) 定义信息安全管理范围:确定需要重点进803 根据不同的安全级别提供了层次化、结构化的安行信息安全管理的领域,企业根据自己的实际情况,将企全控制措施要求。提供包括意识和培训、认证、认可和安全业划分成不同的信息安全控制领域,以易于企业对有不同评估、配置管理、持续性规划、事件响应、维护、介质保护、需求的领域进行适当的信息安全管理;() 进行信息安全物理和环境保护、规划、人员安全、风险评估、系统和服务96算机安全 20081管 理采购、系统和信息完整性这13 个安全管理
12、和运营控制族以及 106个具体控制措施。具体控制要求如图 3 所示。图3S800 5安全控制要求为了利于企业根据自身情况选择合适的保护要求,S0提出了基线的概念。基线安全控制根据不同的保 护级别提出最小安全控制集。安全控制集的有效性可以通 过安全认证过程得到验证,同时安全控制集的内容是动态的,允许根据技术的发展和需求的变化进行不断的修改和 扩展,以提高企业信息系统的保护效果。5信息安全等级保护我国目前的信息安全管理体系的主要思路是采用信息安全等级保护的思想。信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保 护,对
13、信息系统中发生的信息安全事件等等级响应、处置。由公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准 GB75-1999计算机信息系统安全保护等级划分准则将信息系统安全分为 个等级:第一级:自主保护级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级:系统审计保护级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级:安全标记保护级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国 家安全造成损害。第四级:结构化保护级,信息系统受到
14、破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害.第五级:访问验证保护级, 信息系统受到破坏后,会对国家安全造成特别严重损害。图 基本要求针对每级系统,从技术要求和管理要求两方面分别提出考核要求。技术方面具体考核指标有身份认证、自主访问控制、数据完整性、审计等;管理方面具体考核指标有管理制度、人员录用、安全意识教育与培训等方面。等级保护不同级别的要求具有逐级增强的特点。不同级别的信息系统,安全防护能力、对抗能力和恢复能力也相应的不同;较高级别的系统能够应对更多的威胁,对同一个威胁有更为周密的应对措施。不同级别的信息系统的增强特点如图5 所示。图 不同保护级别逐级增强等
15、级保护根据信息系统的综合价值、综合能力保证的不同要求以及安全性破坏可能造成的损失来确定相应的保 护等级。采取分级分类的原则,根据不同的信息系统保护 需求,构建一个完整的信息安全保护体系。6结束语国外的信息安全之路已经发展了数十年,从早期零散 的、随意的标准发展成体系化、层次化、覆盖信息安全管 理全生命周期的信息安全管理体系。我国目前的信息安全 管理体系建设虽然还处于起步和探索阶段,但随着经济改革开放,越来越多的企事业单位,比如电信、金融或者从事IT 外包业务的企业已经开始主动运用这些先进的技术体系标准来提高企业的信息安全管理水平。从国际主流的信息安全管理体系到国内基于等级保护的信息安全管理体系
16、,这些远不是本文短短篇幅所都能深入讨论和涉及到的,本文仅仅是抛砖引玉,希望有更多的 人能加入到信息安全管理体系的学习、运用和实践中来,“他山之石、可以攻玉”,多借鉴国外的先进经验和理论, 结合我国实际,在实际工作中灵活运用,切实提高我国的信息安全管理水平。作者简介:高文涛,男,广东电网公司惠州供电局信息部。主要研究及工作方向:网络管理。收稿日期:2008-9-10 971.2 国内外研究现状及对比12 国际工程造价管理的研究现状目前的国际工程造价管理大多数符合市场经济的要求。分析目前国际上先进工程造价管理的现状,可归纳为以下几个方面 :1)国际工程造价管理实行有章可循的计价依据。在国际工程造价
17、管理中,工程造价计价依据是必不可少的.在美国,政府部门组织不制定工程造价计价的标准,造价计价依据与标准也没有统一。一般情况下都是由国内的大型工程咨询公司制定指标、定额和费用标准等。在地方的咨询机构则根据地方的具体情况制订单位工程的基价和消耗量,作为所负责的项目造价估算标准。2)国际工程造价管理实行政府间接调控。在国际上,对于工程造价管理,政府主要采用的是间接手段管理。政府对私人投资的项目与政府投资的项目实行的管理力度与深度是不同的,重点是要控制政府投资的项目。工程项目进行方案设计、施工设计和实行目标控制,必须按照政府的造价指标和面积标准实行,不得突破。3)国际工程造价管理实行造价师的动态估价.
18、国际工程造价管理中,一般是委托工料测量师来完成业主对工程的估价.测量师要确定工程单价没能计算的项目,就必须比较以往的同类工程和在不同阶段提供的项目资料,并且要结合当前的市场行情,再通过分析其他建筑物的造价资料得出。是以市场为依据进行各方面的估价,实行动态的估价。4)国际工程造价管理有多渠道的工程造价信息。建筑产品估价与结算的关键依据是造价信息。在国际工程造价管理中,一般是一些新闻媒介与咨询机构来制定建筑造价指数。为了便对政府工程项目进行估算,政府会定期发布工程造价的相关资料信息。同时,社会咨询公司也会实时发布各种成本指数和价格指标等造价信息,为工程项目的估价服务。5)国际工程造价管理实行实施过
19、程中的造价控制。国际工程造价管理一般都是实行以市场为中心的动态控制。在项目实施过程中实行动态的造价管理,体现了对造价控制的实时动态性。随着市场环境的改变和工程的进行,工程造价都会随时变化,所以工程造价管理就要随着这些变化而及时的调整造价控制标准及控制方法。6)国际工程造价管理实行通用的合同文本。在国际工程造价管理中,合同有着非常重要的地位,对合作的双方都有着强烈的约束力和对实现双方的利益和义务都起着重要作用。因此,在国际工程造价管理中,一项通用的行为准则就是严格按照合同规定进行,并且有些国家还实行了通用的合同文本4.1。2。2 我国工程造价管理的研究现状随着改革的深化,投资主体向多元化发展,工
20、程造价管理关系到投资主体和承包商的经济利益,关系到整个市场的竞争规范化,建筑业劳动生产率的逐步提高以及全社会的科技水平的进步等一系列问题。当前我国工程造价管理的现状可以归纳为如下几方面:1)有关法律法规不健全,政府管理不完善,难于产生公平合理的市场竞争机制.目前,我国各行各业的法律法规体制都不是很健全,建筑业也是如此,虽然我国也制定了相关的法律、法规、条文,使工程造价行为有章可循,但是在执行过程中外界因素干扰太大,活口大,人为操作因素比较多,法律法规不健全,使得在实践贯彻中存在大量的问题。建筑行业中“有法不依,执法不严”的现象更是屡见不鲜5。2)工程造价缺乏竞争性.由于受长期的计划经济体制及建
21、筑业自身特点的影响,我国现行的工程计价体系带有浓厚的计划经济和下令定价色彩,尽管工程造价管理部门制订了一些有针对性的调价政策,但是都未取得根本性的突破,造价行政主管部门多为直接式服务,采用政府定价,因而造价缺乏竞争性。以施工企业自主定价为特征的工程计价体系有待建立和完善6。3)工程建设项目造价全过程综合管理意识薄弱。建设工程的造价控制贯穿于项目的全过程,但在工程建设中普遍存在着缺乏建设项目工程造价全过程管理的意识,尤其是项目前期造价管理薄弱,把建设工程项目造价管理重点往往放在的实施阶段,比较注重承包造价、建设实施过程中的造价变更和结算,而忽视立项阶段还有设计阶段的造价管理和控制.但实际过程中决
22、策阶段、设计阶段、施工阶段和竣工阶段都关系到建设工程的造价控制7。4)高素质的工程造价技术人才严重不足。目前国内取得工程造价师资格的专业人才相当少,国内对注册造价工程师实行的年审验证考核制度过于简单化、形式化,缺少强有力的监督管,因此从业人员的专业技术水平参差不齐,高级专业人才更是寥寥无几,在取得执业资格证的队伍中,真正能从事高水平工程造价管理的人员比例非常小,还有相当一部分即无工作实践经验又无实际工作能力,整体素质不高。在造价师的实际从业工作中还存在岗无证,有证无岗的现象。)工程造价信息化管理落后。伴随信息技术的发展,我国工程造价管理信息化的基本框架已经建立起来,以计算工程造价为核心的工程造
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 实用文档 国内外 信息 安全管理 体系 研究 实用 文档 doc
限制150内