資訊保安管理的國際標準

* 系統訪問控制：通過對各種訪問的許可權和能力進行有效的限制，確保系統和資訊的安全。這包括對資訊使用的授權規定，使用者管理，使用者的職責，網路訪問管理，作業系統和應用系統的訪問管理，敏感系統的隔離，對使用者訪問的監控，移動使用者訪問的監控等。

* 系統開發和維護：系統的範圍包括基礎設施，業務系統和自開發的程式。定義支援業務的操作流程對安全而言是至關重要的。

資訊保安在系統設計之前，就必須加以足夠的考慮。資訊保安的需求，在有關系統專案的確定需求階段，就必須作為專案需求的一部分，寫入專案需求的檔案中。

* 業務持續經營計畫：業務持續經營計畫的制定和實施，是防止商業活動的中斷和防止關鍵商業過程免受重大失誤或災難的影響。業務持續經營計畫的定期演練，是業務持續經營計畫重要的實施環節。

* 合規性：資訊系統的設計，操作和使用，均須符合法規（刑法、民法、智財權或版權）。需注意的是，各國的相關法規不盡相同，當資訊從乙個國家傳輸到另乙個國家時，尤其要注意這一點。

還需顧及個人資訊的私密性和符合資訊保安政策。定期的系統內審亦是需要的。

資訊保安管理體系的實施

iso/iec17799的另一重要方面是資訊保安管理體系的實施。在實施資訊保安管理體系的時候，主要是通過評估安全風險、設定安全要求和選擇控制手段，達到其資訊保安的管理目標。因此，在實施資訊保安管理體系的時候，要注重以下三個方面：

* 評估資訊保安風險：資訊保安風險評估要求考慮資訊保安失誤所造成的經營性破壞，要求考慮失去資訊保密性、完整性和可用性和其它資訊資產時所導致的潛在後果。還需評估現行威脅和弱點導致資訊保安失誤的可能性，及目前實施的控制手段。

在管理資訊保安風險和實施控制手段防範風險時，上述資訊保安風險的評估結果有助於指導和決定採取適當的管理行動及其優先程度。在一般情況下，評估資訊保安風險和選擇管制手段的過程可能需要重複幾次。

* 設定對資訊保安的要求：確認資訊保安方面的要求至關重要，通過對本單位的資訊保安風險評估，可以確認本單位的資訊資產所面臨的威脅。設定對資訊保安的要求，要考慮控制的弱點和危險發生的可能性，並對其潛在的影響加以估計。

要考慮合作夥伴、簽約方和服務提供商必須滿足的法律、法規、規章或契約方面的要求。還要考慮為支援運營而發展出一套針對資訊處理的原則、目標和要求。同時還需要對資訊保安控制方面的支出需要和安全失控時產生的危害進行平衡和比較，以設定合理的對資訊保安的要求。

* 選擇管制手段：安全要求一旦確定之後，就應選擇並實施控制手段以確保風險被降到乙個可接受的水平。從立法角度審視，在選擇管制手段時要考慮：

智財權、保護公司機密、資料保護和個人資訊的私密性。對資訊保安來說，被認為是最佳實施手段的管制手段包括：資訊保安政策檔案、資訊保安權責的分配、資訊保安教育和培訓、安全事故的匯報和持續運營管理。

管理風險有許多不同的辦法，然而，需要認識的是有些控制手段並不是適用所有資訊系統或環境，也不一定適合所有的單位或組織。比如，對權責進行分類以防止詐騙或失誤的控制手段，對許多小的單位或組織來說，就不一定適合，而另外的辦法可能更好一些。控制的選擇應當基於相對風險而言的執行控制時的成本，也應當考慮其它非財務方面的因素，如對單位或組織名譽的損壞等等。

資訊保安管理的國際標準

第5講資訊保安管理的國際標準

安全鞋國際標準

國際標準情商測試

資訊保安管理的國際標準

第5講資訊保安管理的國際標準

安全鞋國際標準

國際標準情商測試

相關推薦