国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動安全安全管理 應(yīng)用案例 網(wǎng)絡(luò)威脅 系統(tǒng)安全 應(yīng)用安全 數(shù)據(jù)安全 云安全
當(dāng)前位置: 主頁 > 信息安全 > 安全管理 >

3種信息安然保障編制的比較

時間:2013-11-18 10:39來源:TuZhiJiaMi企業(yè)信息安全專家 點擊:
等第呵護、風(fēng)險評估、成立信息安然治理系統(tǒng)這3種實現(xiàn)信息安然的編制都是當(dāng)前***安然保障系統(tǒng)扶植中的熱點話題。在這里,我們對這3種信息安然保障編制進行闡發(fā)和比較,以體味其優(yōu)錯誤謬
Tags信息安全(528)應(yīng)用安全(1006)安全管理(325)  

  等第呵護、風(fēng)險評估、成立信息安然治理系統(tǒng)這3種實現(xiàn)信息安然的編制都是當(dāng)前***安然保障系統(tǒng)扶植中的熱點話題。在這里,我們對這3種信息安然保障編制進行闡發(fā)和比較,以體味其優(yōu)錯誤謬誤。

  1.等第呵護

  1)首要內(nèi)容

  等第呵護是指導(dǎo)我國信息安然保障系統(tǒng)整體扶植的根本治理原則,是環(huán)繞信息安然保障全過程的一項根本性治理軌制,其核心內(nèi)容是對信息安然分等第、按尺度進行扶植、治理和監(jiān)督。

  2)長處

  等第呵護合用于宏不雅層面,是一種大年夜范圍“基線安然”,合用于行業(yè)主管部門對信息安然的整體掌控與監(jiān)控。

  3)錯誤謬誤

  具體到某個組織的信息安然呵護而言,等第呵護的粒度劃分較粗,在知足組織對信息安然的邃密節(jié)制要求方面還存在不足。是以,在知足監(jiān)管部門的等第呵護要求以后,組織還可進一步把等第細化到各類層次的安然域,直至對一個個的信息資產(chǎn)進行有效治理。

  2.信息安然治理系統(tǒng)(ISMS)

  1)首要內(nèi)容

  近似于質(zhì)量之于ISO9000,ISMS是組織為進步信息安然治理程度,遵循ISO27001的要求,在整體或特定范圍內(nèi)監(jiān)理的信息安然方針和方針,和完成這些方針?biāo)玫木幹坪拖到y(tǒng)。它是直接治理勾當(dāng)?shù)某晒凳緸榉结?、原則、方針、編制、打算、勾當(dāng)、法度、過程和資本的調(diào)集。

  2)長處

  ISMS觸及了信息安然的11個范疇,133個節(jié)制辦法,根基涵蓋了信息安然的各個方面,合用于各類類型的組織用來成立一個整體的安然節(jié)制框架;ISMS更重視于把“安然治理”當(dāng)作一種軌制來扶植,經(jīng)由過程成立統(tǒng)一的方針、策略,和規(guī)范化安然法則,使ISMS實施主體能有效地辨認風(fēng)險,延續(xù)不竭地采納管控辦法,以把風(fēng)險降落到組織可接管的程度。

  3)錯誤謬誤

  它只是描述了成立ISMS的思惟、框架,但對若何成立ISMS并沒有一個具體明白的定義,也沒有描述ISMS的最終形態(tài);沒有肯定成立信息安然系統(tǒng)的具體編制與手藝。是以,ISMS對實施者來講留下來很大年夜的可把持空間,不合的組織和不合實施著對ISMS尺度的掌控可能不同很大年夜,ISMS整體程度也會有高低之分。

  3.風(fēng)險評估

  1)首要內(nèi)容

  風(fēng)險評估是獲知組織當(dāng)前風(fēng)險程度的一種手段,在金融、電子商務(wù)等良多范疇都是有風(fēng)險及風(fēng)險評估需求的存在。當(dāng)風(fēng)險評估利用于IT安然范疇時,就是對信息安然的風(fēng)險評估。

  2)長處

  風(fēng)險評估從夙起簡單的縫隙掃描、人工審計、滲入性測試這類類型的純手藝把持,逐步過渡到今朝遍及采取ISO17799、OCTAVE、NIST SP800、NIST P800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等編制,充分表現(xiàn)以資產(chǎn)為解纜點、以威脅為觸發(fā)、以手藝/治理/運行等方面存在的脆弱性為誘因的信息安然風(fēng)險評估綜合編制及把持模型。

  國內(nèi)這幾年對信息安然風(fēng)險評估的研究進展較快,具體的評估編制也在不斷改進。原國信辦2004年組織完成了《信息安然風(fēng)險評估指南》及《信息安然風(fēng)險治理指南》尺度草案的擬定,并在此中劃定了信息安然風(fēng)險評估的工作流程、評估內(nèi)容、評估編制和風(fēng)險鑒定準(zhǔn)測,對規(guī)范我國信息安然風(fēng)險評估的做法具有很好的指導(dǎo)意義。

  3)錯誤謬誤

  《信息安然風(fēng)險評估指南》所肯定的風(fēng)險評估編制還只是一個通用的方***,具體到一個特定的單位,要對此中的風(fēng)險進行準(zhǔn)確地辨認與量化仍熱是一件堅苦的工作,在很大年夜程度上要取決于評估者的經(jīng)驗。

  另外一方面,《信息安然風(fēng)險評估指南》主如果對所辨認的一個個靜態(tài)資產(chǎn)進行風(fēng)險評估,觸及IT治理、IT治理流程、IT運維、IT審計、IT價值實現(xiàn)等方面的風(fēng)險,其實不克不及完全套用以上信息資產(chǎn)的風(fēng)險評估編制,因為這類風(fēng)險觸及組織的核心營業(yè),組織對此加倍關(guān)心,是以,在實施信息安然過程中,準(zhǔn)確地辨認此中的風(fēng)險并能加以節(jié)制,對組織具有首要意義。

  經(jīng)由過程以上比較,我們覺得這3中編制都是實現(xiàn)信息安然的有效手段,但各有不合的側(cè)重點,要真正實現(xiàn)信息安然要把這3者連絡(luò)起來,并進行響應(yīng)的擴大,摸索出一條合適中國特點的信息安然保障之路。

------分隔線----------------------------

推薦內(nèi)容