万安在线

信息安全的目标 信息安全管理体系理解

日期:2019-08-17 来源:信息安全的目标 评论:

[摘要]一、体系是什么?经常见到这个词,看上去比较虚,但实际有它的含义首先,体系强调整体性,目标必须清晰明确以及为什么要做这件事情,信息安全的目标。1、保持业务持续与稳定,检测业务欺诈。业务持续与稳定包含最基础的系统可用性和业务连续性,可用性关注系...……

一、体系是什么?经常见到这个词,看上去比较虚,但实际有它的含义

首先,体系强调整体性,目标必须清晰明确

以及为什么要做这件事情,信息安全的目标。

1、保持业务持续与稳定,检测业务欺诈。

业务持续与稳定包含最基础的系统可用性和业务连续性,可用性关注系统的性能指标、运行状态、负载容量等健康状态;连续性关注在异常或灾难情况下,是否能够保证丢失数据最少(RPO),系统是否能在指定时间内恢复运行(RTO)。

2、保证数据安全、可控,防止敏感信息泄露。包含被动泄密、主动泄密、系统漏洞造成的信息泄露。即内部人员无保密意识,将敏感信息无控制的进行扩散;以及存在内鬼在偷取敏感信息,大多数是利用控制措施的缺失,或绕过安全控制实现的;还有通系统存在某方面(如非授权访问)的漏洞,导致敏感信息被窃取。

3、抵御安全威胁与攻击。周期性开展一些安全、渗透测试,并及时修复;出现一些安全事件,怎样及时响应。

其次,强调模块化,模块之间相互作用

把目标按照逻辑进行划分,形成支撑目标的模块。前后相辅而成、相互作用。比如说体系一二三四级文件,一级是管理指导政策和总纲,二级是各大安全类别的控制目标、控制程序,管理规范(What to do),三级是需要落实的管理办法(Who to do),四级是操作手册、管理记录与表单(How to do)。

最后,动态演变,机制里有自我改进的措施

持续性改进里包含对体系的适宜性、充分性、有效性(能不能达到目的)进行测量。包含绩效评价和持续改进。

体系都不是一蹴而就的,需要不断的努力与积累,进行运行-改进,才能逐渐发挥出效果,得到一个良性循环,最终能够有一个好的投入产出比。

信息安全体系总体建设框架

信息安全管理体系的建立遵照PDCA的过程,包括建立、实施、监督和改进等过程。

二、那什么又是适宜性、充分性、有效性

适宜性。体系是否符合企业的业务运行情况,有不符之处应该及时修正。

充分性。体系是否全面。关键环节要加强控制,不关键的环节尽量少投入一些资源与精力。

有效性。对企业来说,体系是否达到目标,是否给企业经营带来相应的贡献。

信息安全的目标 信息安全管理体系理解

5、2006年5月,美国退伍军人事务部的一名员工家被盗,其中丢失的一台笔记本电脑中存有包括自1975年以来大约2650万名美国退伍军人及其部分家属的姓名、出生日期和社会安全号码等健康状况等。尽管有前车之鉴,但类似的事件仍然层出不穷。

3、你的笔记本电脑失窃的机率为10%,这意味着每十个人中就有一个人会丢失笔记本电脑——Gartner Group

人员下班或较长时间离开房间时,房间门上锁;

2、97%的失窃笔记本电脑都没有希望找回——FBI

1、全球每隔53,秒钟就会有一台笔记本电脑失窃——Software Insurance

采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性。

据统计丢失一台未加密的商用电脑损失平均达30万人民币。

۞ 完整性:确保信息在生成、传输、保存过程中不会被恶意修改。

移动介质包括,笔记本电脑、掌上型电脑、移动硬盘、U盘、光盘、磁带、存储卡及带有数据存储功能的可移动设备(如MP3播放器、智能手机)等。

4、惠普公司提供服务的富达投资公司的几名员工在公司以外场所使用时被盗,这台笔记本电脑中存储了惠普公司的19.6万现有员工和以前员工的相关资料。具体资料包含员工姓名、地址、社会保险号、生日和其他一些与员工有关的资料。

三、有效性如何测量

有效性测量的意义。对管理目标的量化考量、持续改进的依据、安全工作的绩效考核、是否满足体系的要求

Plan阶段的有效性测量设计。收集有效性测量的需求,为有效性测量提供输入,进行有效性测量指标体系设计的基础。

1、信息安全管理目标确立,有效反映组织的业务目标。

2、利害相关方关注收集,监管、上层、客户的关注点。

3、安全事件的总结,体现出组织信息安全的薄弱环节。

4、风险评估归纳,体现组织改进的方向。

Do阶段的有效性测量规划。需要对有效性测量体系进行详细的设计,主要是解决测量什么、如何测量、测量结果如何展示的问题。

1、 分析有效性测量需求,对Plan阶段的各类有效性测量的输入进行归纳整理,加入重要的相关指标。

2、对Plan阶段的有效性测量目标分解,对应到各项控制点细化指标。

3、采集方案设计,测量频率、谁来测量、如何测量。

4、按照第三步要求客观记录。

Check阶段,

1、有效性测量的结果对管理体系进行评价。检查各层次指标是否满足目标要求,并对整体状况进行评估,得出管理体系好的方面以及需要改进的方面。

2、对有效性测量进行评价。根据测量、分析结果,评价有效性测量体系的贡献,并从中找到需要改进的区域,调整测量指标体系。

Act阶段,对Check阶段发现的不足进行改进,更好的实现管理体系目标。

九州缥缈录吕归尘苏瞬卿 《九州缥缈录》雷碧城断言吕归尘活不过24岁

移动介质是最经常丢失引起数据泄露最方便的方式;

防止物理设备在未授权的情况下被访问、或损坏,确保硬件的绝对安全,尽量做到点对点,减少中间的流转环节。尽量对移动存储器中的内容进行加密设置,防止未授权人员对其进行访问。

信息安全意识(Information Security Awareness),就是能够认知可能存在的信息安全问题,预估信息安全事故对组织的危害,恪守正确的行为方式,并且执行在信息安全事故发生时所应采取的措施。

作废的机密文档要用碎纸机碎掉或撕成碎块,不要直接作为垃圾丢弃;

个人移动存储设备严禁带入公司内部网络使用。

对于现代企业来说,信息是一种资产,包括电子文件、纸质文件、图纸、标准、专利、报价短信消息、电话汇报等,信息资产是具有重要价值的。

物理区域设置门卫或门禁,非工作人员出入需登记;

严禁所有人员携带个人电脑进入公司,客户及供应商电脑如需要进入公司需进行登记,禁止接入公司网络;

۞ 保密性:确保信息在生成、传输、保存过程中不会被泄露。

۞ 可用性:确保信息及资源在有需要的时候可以正常使用。

您至少需要输入5个字

相关内容

编辑精选

copyright © 2017 https://www.safe10000.com 万安在线 版权所有