文档介绍:-
. z.
专业资料
信息技术 平安技术
信息平安管理实用规则
Information technology-Securit,包括计算机辅助欺诈、间谍活动、恶意破坏、毁坏行为、火灾或洪水。诸如恶意代码、计算机黑客捣乱和拒绝效劳攻击等导致破坏的平安威胁,已经变得更加普遍、更有野心和日益复杂。
信息平安对于公专用两局部的业务以及保护关键根底设施是非常重要的。在这两局部息平安都将作为一个使动者,例如实现电子政务或电子商务,防止或减少相关风险。公共网络和专用网络的互连、信息资源的共享都增加了实现访问控制的难度。分布式计算的趋势也削弱了集中的、专门控制的有效性。
多信息系统并没有被设计成是平安的。通过技术手段可获得的平安性是有限的,应该通过适当的管理和规程给予支持。确定哪些控制措施要实施到位需要仔细规划并注意细节。信息平安管理至少需要该组织的所有员工参与,还可能要求利益相关人、供给商、第三、顾客或其他外部团体的参与。外部组织的专家建议可能也是需要的。
如建立平安要求
组织识别出其平安要非常重要的,平安要求有三个主要来源:
一个来源是在考虑组织整体业务战略和目标的情况下,评估该组织的风险所获得的。通过风险评估,识别资产受到的威胁,评价易受威胁利用的脆弱性和威胁发生的可能性,估计潜在的影响。
专业资料
-
. z.
另一个来源是组织、贸易伙伴、合同和效劳提供者必须满足的法律、法规、规章和合同要求,以及他们的社会文化环境。
第三个来源是组织开发的支持其运行的信息处理的原则、目标和业务要求的特定集合。
评估平安风险
平安要通过对平安风险的系统评估予以识别的。用于控制措施的支出需要针对可能由平安故障导致的业务损害加以平衡。
风险评估的结果将帮助指导和决定适当的管理行动、管理信息平安风险的优先级以及实现所选择的用以防这些风险的控制措施。
风险评估应定期进展,以应对可能影响风险评估结果的任变化。
“评估平安风险〞。
选择控制措施
一旦平安要求和风险已被识别并已作出风险处理决定,则应选择并实现适宜的控制措施,以确保风险降低到可承受的级别。控制措施可以从本标准或其他控制措施集合中选择,或者当适宜时设计新的控制措施以满足特定需求。平安控制措施的选择依赖于组织所作出的决定,该决定是基于组织所应用的风险承受准则、风险处理选项和通用的风险管理法,同时还要遵守所有相关的和国际法律法规。
本标准中的*些控制措施可被当作信息平安管理的指导原则,并且可用于大多数组织。下面在题为“信息平安起点〞中将更详细的解释这些控制措施。
“处理平安风险〞。
信息平安起点
多控制措施被认为是实现信息平安的良好起点。它们或者是基于重要的法律要求,或者被认为是信息平安的常用惯例。
从法律的观点看,对*个组织重要的控制措施包括,根据适用的法律:
数据保护和个人信息的隐私〔〕;
保护组织的记录〔〕;
知识产权〔〕。
被认为是信息平安的常用惯例的控制措施包括:
信息平安针文件〔〕;
信息平安职责的分配〔〕;
信息平安意识、教育和培训〔〕;
应用中的正确处理〔〕;
技术脆弱性管理〔〕;
业务连续性管理〔见14〕;
信息平安事件和改良管理〔〕。
专业资料
-
. z.
这些控制措施适用于大多数组织和环境。
应注意,虽然本标准中的所有控制措施都是重要的并且是应被考虑的,但是应根据*个组织所面临的特定风险来确定任一种控制措施是否是适宜的。因此,虽然上述法被认为是一种良好的起点,但它并不能取代基于风险评估而选择的控制措施。
关键的成功因素
经历说明,以下因素通常对一个组织成功地实现信息平安来说,十分关键:
反映业务目标的信息平安针、目标以及活动;
和组织文化保持一致的实现、保持、监视和改良信息平安的法和框架;
来自所有级别管理者的可视化的支持和承诺;
正确理解信息平安要求、风险评估和风险管理;
向所有管理人员、员工和其它传达有效的信息平安知识以使他们具备平安意识;
向所有管理人员、员工和其它分发关于信息平安针和标准的指导意见;
提供资金以支持信息平安管理活动;
提供适当的意识、培训和