企业信息安全风险管理框架研究.pdf

始2章文献综述 1993年欧美六个国家又痘动了建立共嗣评测标准(即焉来的CC标准)的 计划。这个期间英闼自己研发了摸于风险管理的BS7799信息安全管理标准，澳 大利姬和新西兰制定了共同的风险管理标准AS／NES4360。此外，荷兰、德国、 秘藏等国瞧裁定了籀瘟懿本露栎灌。繇有这黧标准，巷强灞飙殓评话帮管理蕊 重要蚀、基础性作用。 准程黪》，成为荚鬻涉密售怠系绞款安全评售秘风险管理的黧要标准积依据。 3．全球纯阶段 随着90年代以来因特网、移动通信和跨圆光缆的高速发展，各国原本局限 于本因内的信息网络迅速跨越因境连成一片。与此同时，惯息安全也成为世乔 套国搿赣懿共闻揍疆。 谯共同需求的鞭动下，1996年国际标准组织发布了1S鲫EcTR13335即《信 露准粼》(CC标准)。2000年又发奄了ISO／IEC17799帮《傣悬技本售感安全管 理实施细赠》。 因际标准的出台，反过来又推动了各国自舟风险管理标准研发的进程。例 如美因，从90年代米开始，在风险管理相关标准的制定上掀起了一个掰离潮， 纹NIST(美国国家褥准与技本爨)透凡年麓定豹与最陵管疆籀关熬标潦簸这十 多个。 年发奄了《售惠(蜜全)绦簿实黼》据令(8500·2)嚣令文侈，痒麦謦貔系统安 全评{齑和风险管毽的依据。 2．3．2相关信总安全标准 2．3．2．118017799／lS027001／弱7799 同镤鼯熬，鏊在开发一套可供开发、实麓帮测篷有效安全繁璞豢铡势撼珙燹荔 Committee 饮伴测信任的通爝框架。负责标准开发和管理工作的BSI-DISC BDD／2由来自贸易和工业部门的众多代表共同组成，其成员在各自的领域都具 有足够的影响力。 帮2章文献综述 图2．3 BS7799．2：2002中的PDCA模型 型(参见图2．3)，以此作为建立、实施、持续改进信息囊全管理体系的依据， 及经济合l乍与秀发缌缀(OECD)纂本甄则的～致瞧，钵璞了管理锌系融合的趋 Information SecurityManagementSystems)，其中详细说明了建立、实施和维护信 息安仝管理体系的毅求，指出实施机构应该遵循的风险评储标准，作为一套管 于建立适合企业需疆的信息安全管理体系(ISMs)。 ISO／tEC27001：2005(BS7799-2：2005)，修订簌麴拣准其焦点还是放在爨穿缀织 的信憋安全管理上。尽管大部分控制在实际中会在rr部门域IT组织内都实现， 但总体上标准执行的重点仍应放程业务信息的风险上。 BS7799标准之所以能被广沟接受，一方蕊是它提供了一套普遍适朋且行之 有效豹全瑶翡安全箍制疆燕，掰受重要的，还在予宅疆爨了建立信息安全营理 体系的目标，这和人们对信息安全管理认识的加强是相适应的。与以往技术为 第2章文献综述 上图2．4是1S013335中的风险概念模型。图2．5所示的风险关系模型则动 念的表现了资产所面临的安全风险与其他各个要素之间的内在关系。 图2．5 IS013335—1中的风险动态模型 2．其他部分 IS013335的剩余部分包括信息安全的管理和计划、信息安全技术管理、防 护的选择以及网络安全管理指南。 ≯信息安全的管理和计划：该部分标准发布于1997年，这个部分建议性 的描述了信息安全管理和计划的方式和要点。 》信息安全技术管理：该部分标准发布于1998年。这个部分覆盖了风险 管理技术、信息安全计划的开发以及实施和测试，还包括一些后续的制 度审查、实践分析、信息安全教育程序等。 》防护的选择：该部分标准发布于2000年。主要探讨如何针对一个组织 的特定环境和安全需求来选择防护措施。 ≯ 网络安全管理指南：该部分标准发布于2001年。这部分主要描述了网 络安全的管理原则以及各组织如何建立框架以保护和管理信息技术体 系的安全性。这一部分将有助于防止网络攻击，把使用信息系统和网络 的危险性降到最低。 2．3．2，3其他标准 1．信息及相关技术控制目标COBIT