信息安全管理体系的研究.docVIP

信息安全管理体系的研究 　　 　　以下是关于信息安全管理体系的研究的论文希望对各位毕业生有所帮助 　　 　　摘要：对信息安全体系的定义、功能以及构建方法进行介绍在信息安全管理标准和安全特性的基础上构建信息安全管理模型分析如何有效地进行信息安全的风险评估、安全策略以及安全控制 　　 　　关键词：信息安全管理体系 　　 　　1引言 　　 　　随着计算机技术、网络通信技术和高密度存储技术的发展电子信息化进程在各个领域中得到了广泛推广和不断深入研究结合当今社会的信息量爆炸式的增长情况以及现阶段的研究成果得出结论当今电子信息工程的安全问题和信息的有效利用问题仍将为研究的重点 　　 　　信息安全管理可以借助一些必要的技术措施来实现但是仅仅从技术层面上是无法彻底保证信息的安全性和有效性因为互联网本身是不可控制的这无疑给网络安全埋下了巨大的隐患很多情况下防火墙成为了确保网络信息安全的重要措施要想最大限度的发挥防火墙的技术优势就必须考虑防火墙的安全策略设置以及对其进行物理保护和访问控制这就要求安全管理必须拥有足够的基础程序予以支持否则安全技术难以发挥其技术优势或者一旦外部环境发生变化安全技术难以适应无法起到应有的安全保护作用由此可见对于信息安全团里的研究有着非常重要的理论意义和实践意义 　　 　　2信息安全管理体系的特点和功能 　　 　　信息安全管理体系(InformationSecurityManagementSystem简称为ISMS)是建立和维持信息安全管理体系的标准标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作保持体系运作的有效性;信息安全管理体系应形成一定的文件即组织应建立并保持一个文件化的信息安全管理体系其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度 　　 　　信息安全管理体系是组织机构单位按照信息安全管理体系相关标准的要求制定信息安全管理方针和策略采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系信息安全管理体系是按照ISO/IEC27001标准《信息技术安全技术信息安全管理体系要求》的要求进行建立的ISO/IEC27001标准是由BS77992标准发展而来信息安全管理体系的主要功能有： 　　 　　(1)规范组织的信息安全管理行为提升员工的安全管理意识 　　 　　(2)对组织内部的关键信息进行全面保护有效维持自身的竞争优势 　　 　　(3)提升合作伙伴和客户的满意度是其对组织拥有强烈的信心 　　 　　(4)促使组织的决策层坚持贯彻落实信息安全管理体系 　　 　　(5)确保组织定期的考虑新的安全威胁和潜在的安全脆弱点对信息安全管理体系进行持续的更新 　　 　　3信息安全的风险评估与策略 　　 　　3.1信息安全的风险评估 　　 　　信息安全管理属于风险管理即如何在一个确定有风险的环境里把风险减至最低的管理过程因此管理的核心要素就是对风险进行准确识别和有效的评估通过对信息安全进行风险评估可以获得安全管理的需求帮助组织制定出最佳的信息安全管理策略并且将风险控制在可承受的范围之内一个科学、合理的信息安全风险评估策略应该具有形影的标准体系、技术措施、组织框架以及法律法规风险管理的结构如图1所示 　　 　　3.2信息安全策略 　　 　　信息安全策略(InformationSecurityPolicy)是一个组织机构中解决信息安全问题的重要组成部分在一个组织内部通常是由技术管理者指定信息安全策略如果是一个较为庞大的组织制定信息安全策略的则可能是一个技术团队信息安全策略是基于风险评估结果以保护组织的信息资产信息安全策略对访问组织的不同资产进行权限设定它是组织管理人员在建立、使用和审计信息系统时的信息来源 　　 　　信息安全策略具有非常广泛的应用范围在其基础上做出的安全决定需要提供一个较高层次的原则性观点一个组织的信息安全策略能够反映出一个组织对现实和未来安全风险的认识水平对于组织内部业务人员和技术人员安全风险的处理信息俺去那策略的制定同时还需要参考相关标准文本和安全管理的经验 　　 　　3.3信息安全管理措施 　　 　　信息加密技术是网络安全管理的核心问题通过对网络传输的信息资源进行加密以确保传递过程中的安全性和可靠性密码技术主要包括古典密码体系、单钥密码体系、公钥密码体系、数字签名以及密钥管理其中古典密码体系可以分为替代式密码和移位式密码替代式密码是字母或者字母群作有系统的代换直到信息被替换成其它比较难以破译的文字;移位式密码是字母本身不变但是在信息中的顺序是依照一个定义明确的计划进行改变的单钥密码