问答文章1 问答文章501 问答文章1001 问答文章1501 问答文章2001 问答文章2501 问答文章3001 问答文章3501 问答文章4001 问答文章4501 问答文章5001 问答文章5501 问答文章6001 问答文章6501 问答文章7001 问答文章7501 问答文章8001 问答文章8501 问答文章9001 问答文章9501

如何构建有效的信息安全保障体系

发布网友 发布时间:2022-04-22 00:38

我来回答

3个回答

热心网友 时间:2022-07-10 19:59

转载以下资料,仅供参考:
如何有效构建信息安全保障体系;随着信息化的发展,*或企业对信息资源的依赖程度;通常所指的信息安全保障体系包含了信息安全的管理体;构建第一步确定信息安全管理体系建设具体目标;信息安全管理体系建设是组织在整体或特定范围内建立;信息安全的组织体系:是指为了在某个组织内部为了完;的特定的组织结构,其中包括:决策、管理、执行和监;信息安全的策略体系:是指信息安全总体

如何有效构建信息安全保障体系
随着信息化的发展,*或企业对信息资源的依赖程度越来越大,没有各种信息系统的支持,很多*或企业其核心的业务和职能几乎无法正常运行。这无疑说 明信息系统比传统的实物资产更加脆弱,更容易受到损害,更应该加以妥善保护。而目前,随着互联网和网络技术的发展,对于*或企业的信息系统来讲,更是面 临着更大的风险和挑战。这就使得更多的用户、厂商和标准化组织都在寻求一种完善的体系,来有效的保障信息系统的全面安全。于是,信息安全保障体系应运而 生,其主要目的是通过信息安全管理体系、信息安全技术体系以及信息安全运维体系的综合有效的建设,让*或企业的信息系统面临的风险能够达到一个可以控制 的标准,进一步保障信息系统的运行效率。
通常所指的信息安全保障体系包含了信息安全的管理体系、技术体系以及运维体系。本文将重点介绍信息安全管理体系的建设方法。
构建第一步 确定信息安全管理体系建设具体目标

信息安全管理体系建设是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分,通过信息安全治理来达到具体的建设目标。

信息安全的组织体系:是指为了在某个组织内部为了完成信息安全的方针和目标而组成

的特定的组织结构,其中包括:决策、管理、执行和监管机构四部分组成。
信息安全的策略体系:是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。策略体系从上而下分为三个层次:
第一层 策略总纲

策略总纲是该团体组织内信息安全方面的基本制度,是组织内任何部门和人不能违反的,说明了信息安全工作的总体要求。

第二层 技术指南和管理规定

遵循策略总纲的原则,结合具体部门、应用和实际情况而制定的较专业要求和方法以及技术手段。包括以下两个部分:

技术指南:从技术角度提出要求和方法;

管理规定:侧重组织和管理,明确职责和要求,并提供考核依据。

第三层 操作手册、工作细则、实施流程

遵循策略总纲的原则和技术指南和管理规定,结合实际工作,针对具体系统,对第二层的技术指南和管理规定进行细化,形成可指导和规范具体工作的操作手册及工作流程,保证安全工作的制度化、日常化。

构建第二步 确定适合的信息安全建设方*

太极多年信息安全建设积累的信息安全保障体系建设方*,也称“1-5-4-3-4”。即:运用1个基础理论,参照5个标准,围绕4个体系,形成3道防线,最终实现4个目标。

一、风险管理基础理论

信息系统风险管理方*就是建立统一安全保障体系,建立有效的应用控制机制,实现应用系统与安全系统全面集成,形成完备的信息系统流程控制体系,确保信息系统的效率与效果。

二、遵循五个相关国内国际标准

在信息安全保障体系的建立过程中我们充分遵循国内国际的相关标准:
ISO 27001标准

等级保护建设

分级保护建设

IT流程控制管理(COBIT)

IT流程与服务管理(ITIL/ISO20000)

三、建立四个信息安全保障体系

信息安全组织保障体系:建立信息安全决策、管理、执行以及监管的机构,明确各级机构的角色与职责,完善信息安全管理与控制的流程。

信息安全管理保障体系:是信息安全组织、运作、技术体系标准化、制度化后形成的一整套对信息安全的管理规定。

信息安全技术保障体系:综合利用各种成熟的信息安全技术与产品,实现不同层次的身份鉴别、访问控制、数据完整性、数据保密性和抗抵赖等安全功能。
信息安全运维保障体系:在信息安全管理体系规范和指导下,通过安全运行管理,规范运行管理、安全监控、事件处理、变更管理过程,及时、准确、快速地处理安全问题,保障业务平台系统和应用系统的稳定可靠运行。

四、三道防线

第一道防线:由管理体系、组织体系、技术保系构成完备的安全管理*与基础安全设施,形成对安全苗头进行事前防范的第一道防线,为业务运行安全打下良好的基础。

第二道防线:由技术体系、运维体系构成事中控制的第二道防线。通过周密的生产调度、安全运维管理、安全监测预警,及时排除安全隐患,确保业务系统持续、可靠地运行。

第三道防线:由技术体系构成事后控制的第三道防线。针对各种突发灾难事件,对重要信息系统建立灾备系统,定期进行应急演练,形成快速响应、快速恢复的机制,将灾难造成的损失降到组织可以接受的程度。

五、四大保障目标

信息安全:保护*或企业业务数据和信息的机密性、完整性和可用性。
系统安全:确保*或企业网络系统、主机操作系统、中间件系统、数据库系统及应用系统的安全。

物理安全:使业务和管理信息系统相关的环境安全、设备安全及存储介质安全的需要得到必要的保证。

运行安全:确保业务和管理信息系统的各种运行操作、日常监控、变更维护符合规范操作的要求,保证系统运行稳定可靠。

构建第三步 充分的现状调研和风险评估过程

在现状调研阶段,我们要充分了解*或企业的组织架构、业务环境、信息系统流程等实际情况。只有了解*或企业的组织架构和性质,才能确定该组织信息安 全保障体系所遵循的标准,另外,还要充分了解*或企业的文化,保证管理体系与相关文化的融合性,以便于后期的推广、宣贯和实施。在调研时,采用“假设为 导向,事实为基础”的方法,假定该*或企业满足相关标准的所有控制要求,那么将通过人工访谈、调查问卷等等各种方式和手段去收集信息,证明或者证伪该组 织的控制措施符合所有标准的要求,然后在此基础上,对比现状和标准要求进行差距分析。

在风险评估阶段,首先对于信息系统的风险评估.其中涉及资产、威胁、脆弱性等基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性
可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为:

对资产进行识别,并对资产的价值进行赋值;?

对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;?
对资产的脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;?
根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性;?
根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失;?

根据安全事件发生的可能性以及安全事件的损失,计算安全事件一旦发生对组织的影响,即风险值。?

其次,进行信息系统流程的风险评估。根据“国际知名咨询机构Gartner的调查结果”以及我们在实践中证实发现,要减少信息系统故障最有效的方式之 一,就是进行有效的流程管理。因此需要在保证“静态资产”安全的基础上,对IT相关业务流程进行有效管理,以保护业务流程这类“动态资产”的安全。

构建第四步 设计建立信息安全保障体系总体框架

在充分进行现状调研、风险分析与评估的基础上,建立组织的信息安全保障体系总纲,总纲将全面覆盖该组织的信息安全方针、策略、框架、计划、执行、检查和 改进所有环节,并对未来3-5年信息安全建设提出了明确的安全目标和规范。信息安全体系框架设计在综合了现状调研、风险评估、组织架构和信息安全总纲后, 还需要综合考虑了风险管理、监管机构的法律法规、国内国际相关标准的符合性。为确保信息安全建设目标的实现,导出该组织未来信息安全任务,信息安全保障体 系总体框架设计文件(一级文件)将包括:

信息安全保障体系总体框架设计报告;

信息安全保障体系建设规划报告;

??

信息安全保障体系将依据信息安全保障体系模型,从安全组织、安全管理、安全技术和安全运维四个方面展开而得到。对展开的四个方面再做进一步的分解和比较详细的规定将得到整个*部门或企业信息安全保障体系的二级文件。具体二级文件包括:

信息安全组织体系:组织架构、角色责任、教育与培训、合作与沟通
信息安全管理体系:信息资产管理;人力资源安全;物理与环境安全;通信与操作管理;访问控制;信息系统获取与维护;业务连续性管理;符合性;
信息安全技术体系:物理层、网络层、系统层、应用层、终端层技术规范;
信息安全运维体系:日常运维层面的相关工作方式、流程、管理等。包括:事件管理、问题管理、配置管理、变更管理、发布管理,服务台。

构建第五步 设计建立信息安全保障体系组织架构

信息安全组织体系是信息安全管理工作的保障,以保证在实际工作中有相关的管理岗位对相应的控制点进行控制。我们根据该组织的信息安全总体框架结合实际情况,确定该组织信息安全管理组织架构。

信息安全组织架构:针对该组织内部负责开展信息安全决策、管理、执行和监控等工作的各部门进行结构化、系统化的结果。?

信息安全角色和职责:主要是针对信息安全组织中的个体在信息安全工作中扮演的各种角色进行定义、划分和明确职责。?

安全教育与培训:主要包括对安全意识与认知,安全技能培训,安全专业教育等几个方面的要求。?

合作与沟通:与上级监管部门,同级兄弟单位,本单位内部,供应商,安全业界专家等各方的沟通与合作?

构建第六步 设计建立信息安全保障体系管理体系

根据信息安全总体框架设计,结合风险评估的结果以及该组织的信息系统建设的实际情况,参照相关标准建立信息安全管理体系的三、四级文件,具体包括:
资产管理:信息系统敏感性分类与标识实施规范与对应表单、信息系统分类控制实规范与对应表单?

人力资源安全:内部员工信息安全守则、第三方人员安全管理规范与对应表单、保密协议?

物理与环境安全:物理安全区域划分与标识规范以及对应表单、机房安全管理规范与对应表单、门禁系统安全管理规范与对应表单?

访问控制:用户访问管理规范及对应表单、网络访问控制规范与对应表单、

操作系统访问控制规范及对应表单、应用及信息访问规;通信与操作管理:网络安全管理规范与对应表单、In;信息系统获取与维护:信息安全项目立项管理规范及对;业务连续性管理:业务连续性管理过程规范及对应表单;符合性:行业适用法律法规跟踪管理规范及对应表单?;最终形成整体的信息安全管理体系,务必要符合整个组;

操作系统访问控制规范及对应表单、应用及信息访问规范及对应表单、移动计算及远程访问规范及对应表单?

通信与操作管理:网络安全管理规范与对应表单、Internet服务使用安全管理规范及对应表单、恶意代码防范规范、存储及移动介质安全管理规范与对应表单?

信息系统获取与维护:信息安全项目立项管理规范及对应表单、软件安全开发管理规范及对应表单、软件系统漏洞管理规范及对应表单?

业务连续性管理:业务连续性管理过程规范及对应表单、业务影响分析规范及对应表单?

符合性:行业适用法律法规跟踪管理规范及对应表单?

最终形成整体的信息安全管理体系,务必要符合整个组织的战略目标、远景、组织文化和实际情况并做相应融合,在整个实施过程还需要进行全程的贯穿性培训. 将整体信息安全保障体系建设的意义传递给组织的每个角落,提高整体的信息安全意识。这样几方面的结合才能使建设更有效。

热心网友 时间:2022-07-10 20:00

第一层 策略总纲
策略总纲是该团体组织内信息安全方面的基本制度,是组织内任何部门和人不能违反的,说明了信息安全工作的总体要求。
第二层 技术指南和管理规定
遵循策略总纲的原则,结合具体部门、应用和实际情况而制定的较专业要求和方法以及技术手段。包括以下两个部分:

热心网友 时间:2022-07-10 20:00

推荐下海宇安全数据防泄密系统

海宇安全防泄密系统,能够帮助企业构建起完善的防泄密体系,通过详尽细致的操作审计、全面严格的操作授权和安全可靠的透明加密三重保护全复面保护企业的信息资产,使得企业实现"事前防御—事中控制—事后审计"的完制整的信息防泄露流程

企业重要文件只能在部署了海宇安全防泄密的环境中使用,脱离了安全环境则需要进行申请外发、员工离线加密等加密权限,确保重zd要资料始终处于保护中

重要文件的操作行为全程资料进行详细审计,文件的操作权限可根据部门和职位进行分配,任何潜在的泄密渠道都会进行详细的监控
声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com
奥迪a6l怎么用手机连接音响放歌,我的是华为 奥迪a6l蓝牙连接了,听歌没声音 2009年6月在农业银行办理30万等额本息为10年的商业房贷,7折,现在月供... 存量房贷七折七折政策 ...在农业银行贷款27万,等额本息打七折利率按揭20年,现在的利率每月应还... 我是第一套房,在农业银行不是公积金贷款27万元20年付清利息怎么算法... 在成都交通违章网上怎么办理的 成都违章罚款网上怎么交 成都交通违章罚款在哪里交 成都违章停车可以网上交罚款吗 亲们不流鼻涕是什么感冒? 冰箱需要定期清洗吗?如果需要,该如何进行清洗? 英语单词 更远怎么写 远的英文单词 为什么电冰箱需要进行定期除霜? 较远的英文 更远的英文是什么 冰箱为什么要清洗,清洗的好处有什么? 较远的 英文? 我要包工厂生产车间合同书怎么写 我是木工厂的员工,我想把整个木工车间承包,承包... 感冒喉咙痛但是不会流鼻涕,吃什么药比较好? 中国人寿车险特色服务 诗经的词语做qq网名 比如 汐殿 旧时 陌小寻 什么的... 怎样解除律师委托合同 中国人寿的车险怎么样,是不是有实力的保险公司 委托筹办合同特点 中国人寿车险怎么样,靠谱不? 《诗经》能做网名的句子有哪些? 委托合同的特点及合同机构包括什么 请问华为有没有隐藏软件功能? 华为有没有外资股份 冰箱为什么要定期清理,储存物品要注意什么 两个人合作办厂一个人协议承包要怎么写协议 华为有没有进行独家分销? “远”的英文单词 论冰箱清洗的重要性? 如何签订工厂承包制合同?应该怎么起草协议书?很急 距离太远的英文 华为有没有隐藏功能,怎么用 华为手机 有没有什么推荐 最远用英语怎么说 冰箱需要经常清洗? 我与人合伙开工厂合同怎么写 哪个单词距离最远? 在一个英语单词中,有哪个单词的... 服装厂承包经营合同范本 荣耀有5g为啥华为没有 冰箱是否需要定期进行清洗?如果需要清洗,应该使... 越来越远用英文怎么形容? 签承包工厂合同要注意什么条例?