文档介绍:Modified by JEEP on December 26th, 2020.
企业战略信息安全管理标准及综合应用
★★★文档资源★★★
摘要:人们对信息结构化形式提供:信息安全策略、信息安全的组织结构、资产管理、人力资源安全、物理和环境安全、通信和运行管理、访问控制、信息系统采购、开发和维护、信息安全事故管理、业务持续性管理、符合性这11个安全控制章节,还有39个主要安全类和133个具体控制措施,以规范组织机构信息安全管理建设的内容。
3.COBIT标准。美国信息系统审计与控制协会ISACA协会的COBIT管理标准,是一个比较完整的IT审计和治理的框架,它为建立完善的信息系统控制和审计体系,提供了详细的控制目标、实施办法和审计指南等。2005年,已更新为第四版。
新版本的COBIT更加关注组织战略和效果评估,从4个方面:PO(Planning&Organization)、AI(Acquisition&Implementation)、DS(Delivery&Support)和ME(Monitoring&Evaluation)对信息系统进行管理和控制,可进一步细分为34个管理流程。
4.ITIL标准。该标准由由英国政府部门CCTA于20世纪80年代末制订,2001年英国国家标准协会(BSI)正式发布了基于ITIL的标准BSl5000,2002年此标准为国际标准化组织(ISO)所接受。
其内容描述的是,IT部门应该包含的各个工作流程以及各个工作流程之间的相互关系。ITIL提供了以服务支持和服务提供为核心的、包括规划实施服务管理、业务视野、ICT基础设施管理、安全管理和应用管理7个模块在内的规范化信息技术服务。
在ITIL框架中,安全管理,作为组织机构进行IT服务的一个组成部分,专门进行了讨论。因此,信息安全管理是ITIL框架的一个有机组成部分,它对规范化信息技术服务、保障信息技术服务有重要的意义。
5.ISO/IECl3335标准。这套标准提供了安全管理的基本概念、模型以及风险管理实践等内容,它可以用于指导如何实现IT安全管理。ISO/IECl3335标准由5个系列标准组成:ISO/IECl3335—1:2004《IT安全的概念与模型》;ISO/IECl3335—2:1997(IT安全管理与策划》;ISO/IECl3335—3:1998《IT安全管理技术》;ISO/IECl3335—4:2000《防护措施的选择》;ISO/IECl3335—5:2001<网络安全管理指南》。
ISO/IECl3335标准关注组织的安全,对安全管理的过程和风险分析有非常细致的描述。在安全管理实践中有参考价值。
6.SSE—CMM标准。系统安全工程一成熟度模型,SSE—CMM(SystemSecurityEneineeringCapabilityMaturityModel)模型是CMM在系统安全工程这个具体领域应用而产生的一个分支,是美国********局(NSA)领导开发的,是专门用于系统安全工程的能力成熟度模型。SSE
—CMM第一版于1996年10月出版,1999年4月,SSE—CMM模型和相应评估方法2.0版发布。20