国内外信息安全理体系研究.docVIP

管 理国内外信息安全管理体系研究高文涛广东电网公司惠州供电局，广东 惠州 516001) 要：该文对国内外主流的信息安全管理体系进行了梳理和研究，对不同体系的框架和内容进行探讨，为企业选择和建立适 合的、完善的信息安全管理体系提供有意义的借鉴。 关键词：信息安全管理体系；风险分析；资产；等级保护Study on Information Security Management Achitecture GUO Wen-tao Abastract：In this paper, we discuss domestic and foreign mainstream information security management system and explore different systems of framework and content for enterprises and the establishment of a suitable option, provide asound information security management system reference. Key words：Information Security Management System；Risk Analysis；Asset；Level protection  1 概述信息安全管理体系是针对企业整体或特定范围内建立 信息安全方针和目标，以及完成这些目标所用方法的体系。 为了建立和维护信息安全管理体系，国内外出台了许多相 关的标准，在这些标准中明确了确定信息安全管理体系范 围、制定信息安全方针、明确管理职责、以风险评估为基 础选择控制目标与控制方式等活动建立信息安全管理体系。目前国际上主流的信息系统管理体系的标准有ISO/IEC 的国际标准 17799，英国标准协会（BSI）的7799 系列，美国国家标准和技术委员会（NIST）的特别出版物 NIST SP 800 系列；在我国，公安部出台了信息安全等级保护制度。本文将对这些主流的信息安全管理体系分别进行介绍。 安全信息安全：建立企业内的管理体系以便安全管 理。内容包括企业内部信息安全责任；信息采集设施安全； 可被第三方利用的信息资产的安全；外部信息安全评审。 资产管理：利用资产清单，分类处理，信息标签 等对信息资产进行保护。2 ISO/IEC 17799 ISO/IEC 17799 是国际标准组织 ISO/IEC 所制定的 国际标准。它建立了启动、实施、维护和改进信息安全管 图 1 ISO/IEC 17799 安全管理体系 理的指导方针和通用原则，范围包括安全策略、信息安全 (4) 人员资源安全：为了降低人为错误、窃取、欺骗 组织机构、资产管理、人力资源安全、物理和环境安全、 及滥用相关设施的风险，来确保使用者意识到信息安全的 通信和运行管理、访问控制、系统的开发与维护、信息安 威胁，采用签署保密协议；定期的安全教育培训；安全事 全事故管理安全、业务持续性管理、符合性等 11 项安全 故与教训总结；惩罚措施等减少人为造成的风险。 控制内容、39 个主要安全类和 133 个具体控制措施的信 (5) 物理与环境安全：防止对关于 IT 服务的未经许可 息安全管理控制措施集合。ISO/IEC 17799 充分体现了 的介入，损伤和干扰服务；避免对信息及其处理设施的破 三分技术、七分管理的思想。基于 ISO/IEC 17799 所建 坏或窃取。 立的安全管理体系如图 1 所示。 (6) 通信与操作管理：确保信息处理设备的正确和安 (1) 安全策略：建立安全方针文档，为信息安全提供 全的操作；降低系统失效的风险；保护软件和信息的完整 管理方向和支持。 性；维护信息处理和通讯的完整性和可用性；确保网络信  2008.12 计算机安 95 管 理息的安全措施和支持基础结构的保护；防止资产被损坏和 风险评估：信息安全风险评估的复杂程度将取决于风险的业务活动被干扰中断；防止企业间的交易信息遭受损坏， 复杂程度和受保护资产的敏感程度，所采用的评估措施应修改或误用。 该与企业对信息资产风险的保护需求相一致；(4) 进行风(7) 访问控制：控制访问信息；阻止非法访问信息系 险管理 : 根据风险评估的结果进行相应的风险管理，风统；确保网络服务得到保护；阻止非法访问计算机；检测 险管理的措施包括降低风险、避免风险、转嫁风险和接受非法行为；保证在使用笔记本电脑和远程网络设备时信息 风险；(5) 选择管理控制