基于ISOIEC 27002信息安全风险评估知识库构建.docVIP

基于ISOIEC 27002信息安全风险评估知识库构建 　　摘要:本文首先介绍了风险评估知识库的概念及作用,在此基础上提出了基于ISO27002的信息安全风险评估知识库的一种构建方式。该知识库主要用于信息安全风险评估知识的培训教学和自学辅导,以增进员工对风险评估的了解,提高其风险防范意识,规范业务工作流程。随后,文章详述了知识库的信息来源、制作过程、采用的技术工具以及运行环境,并重点介绍了知识库的结构及其内容安排。其中,部分内容结合典型实例予以说明。文末提出了未来该知识库需改进的地方。 　　关键词:风险评估 知识库 信息安全 ISO/IEC 27002 　　 　　信息是一种有价值的资产,信息的安全关系到企业生产运作的顺利开展。近年来有关信息安全风险评估方面的内容正逐步受到国内学者的关注,这一点从论文发表情况即可看出。如:以重庆维普收录的科技论文为例,在1989-2009年间,题名或关键词中含有“信息安全”和“风险评估”的科技论文共有288篇,且论文数量呈逐年上涨的趋势。建立信息安全风险评估知识库利于有利于提高员工风险防范意识,规范其工作流程,辅助风险评估工作。 　　 　　1.概念和作用 　　1.1知识管理和知识库 　　20世纪80年代末,西方管理学家首次提出了知识管理的概,认为在知识经济时代,生产力发展不再依赖于资本、自然资源和劳动力等传统资源,而是更多地依赖于知识、知识的有效组织、传播和创新。建立知识库的目的即为促进知识的有效组织和分享,实现知识管理,最终实现生产力的提高。所谓知识库,是对特定信息进行分类收集、合理存储、智能查询并可随时更新维护的系统。 　　1.2信息安全风险评估 　　建立规范的信息安全管理体系(简称ISMS)是企业实施信息安全风险管理的有效保障。ISO/IEC 27002(原名ISO/IEC 17799:2005)即信息安全管理实施细则(Code of Practice for Information Security Management),从11个领域定义了133项控制措施,为ISMS的实施提供参考。信息安全风险评估在ISMS中占较大比例,对信息在产生、存储、传输等过程中的机密性、完整性、可用性遭到破坏的可能性以及由此产生的后果做一个估计或评价。IS027002指出:风险评估的结果将为信息安全风险管理和实施控制措施提供指导,确定适当的管理措施和优先级,是有效保证信息安全的前提。 　　1.3风险评估知识库及其作用 　　知识库主要用于信息安全风险评估知识的培训教学和自学辅导,能够为实施信息安全控制的机构组织提供知识支持。具体来讲具有如下作用: 　　(1)增进员工对风险评估的认识,提高风险防范意识 　　通过浏览知识库,用户可以容易的获取风险评估及信息安全管理的相关知识,了解其历史概况和发展现状,并通过学习相关概念和术语获得风险评估标准及过程方法的介绍。在强调风险评估和信息安全重要性的过程中,用户的风险防范意识可得到提高。 　　(2)有利于企业风险评估工作的展开 　　如若企业员工对风险评估的一般流程及评估过程中应注意的问题有所了解,那么在风险评估的实施过程中就会减少许多由于信息不对称所引起的评估者与员工之间的沟通障碍,方便评估工作的展开,提高评估效率。 　　(3)规范业务工作,降低风险发生的概率 　　该知识库指出了日常工作中较易遇到的威胁,可能存在的薄弱点以及由信息安全问题产生的后果。掌握了这些知识后,员工在工作中就可尽量避免威胁,弥补薄弱点,随时对自身业务进行风险评估,规范工作流程,降低风险发生的概率。 　　(4)了解多种评估标准,适应未来变化 　　有关风险评估的标准很多,但不同的评估标准具有不同的侧重点。本知识库虽然基于ISO/IEC 27002但并不仅仅局限于此,在内容设置上,除包含对ISO27002的详细介绍外,还包含了对目前使用较广泛的其他标准的简要说明。员工在对比了解ISO/IEC 27002与其他标准后,一方面可以对ISO/IEC 27002产生更深刻的理解,另一方面也可拓宽知识面,以便当企业升级评估标准时,能更好的适应变化。 　　 　　2.知识库制作 　　2.1知识来源 　　风险评估知识的来源较丰富,知识库主要从三类信息源获取信息,分别为:图书、期刊论文和网络信息。 　　(1)专业图书 　　知识库参阅了多家图书馆收藏的有关信息安全风险评估的中文图书,共14本,出版年限为2000至2009年,其中多半为近3年的图书。从这一点也可看出我国信息安全标准化工作虽起步较晚,但近几年来逐渐受到重视。目前出版的图书多集中于对信息安全风险评估的整体发展状况、特点及方法等作概要性的介绍,或对病毒防范、网络安全等技术的描述。本知识库主要从图书中提取了相关背景知识