一個新的信息安全管理模型
本文依據信息安全的特性和管理的方法提出一個新的ISO27001信息安全管理模型,如下圖所 示。該模型由信息安全策略、安全保護措施、檢測、補救組成的一個循環鏈和信息安全管理中心兩部分組成,其中信息安全管理中心是整個系統的核心。循環鏈中的 每一個環節都要定期地與信息安全管理中心進行安全信息交互,當信息安全管理中心認為有必要對組織的安全目標進行修改時,要向高層管理匯報。高層管理再對安 全目標進行最終的定奪。
信息安全管理模型
新的信息安全管理模型的具體實施過程如下:
(1)組織根據商業運作流程將其信息系統劃分成不同的安全域。然后,組織運用定性與定量相結合的綜合評估方法對所有的安全域進行信息安全風險分析與評估,并將評估結果文檔化。最后,組織依據信息安全風險評估結果建立基于ART2神經網絡的動態風險管理系統。
(2)組織根據風險分析與評估的結果、安全目標、商業目標制定最優的信息安全策略,并把信息安全策略存儲到知識庫中,建立基于知識庫的信息安全策略管理系統。
(3) 組織根據信息安全策略選擇并實施安全保護措施。隨著安全技術和安全產品的改進,這些安全保護措施也要不定期地更換。但更換后的保護措施仍然要遵循相應的信 息安全策略。同時組織還要對其職員進行安全教育與培訓,并根據職員的不同角色為其制定不同的安全職責。每個職員都要制定一份個人年度信息安全計劃,并按照 計劃進行工作,年底時要對安全計劃的執行情況進行檢查。
(4)對信息系統進行安全保護以后并不能完全消除信息安全風險,所以要定期地監控整個信息系統以發現不正常的活動。組織可以建立基于 Agent 的信息安全監控系統,實現對信息系統的實時監控。
(5)當信息系統被入侵成功并遭到破壞后,組織可以采取相應的補救措施,使得組織的商業過程可以正常進行,并重新進行風險分析與評估,增加或 更改原有的信息安全保護措施。在信息系統正常運行時,組織就要定期地對系統進行備份。
(6) 信息安全管理中心是組織必須成立的一個安全管理部門,負責實施和監控整個信息安全管理體系。信息安全管理模型中的每一個環節都必須與信息安全管理中心進行 信息交互。當某一個環節發現新的安全需求時,便立刻向信息安全管理中心匯報。信息安全管理中心在分析其它三個環節的運作情況的基礎上,對整個信息安全系統 各個環節進行調整,并在必要時與高層管理進行信息交互,決定是否有必要對組織機構的信息安全目標進行調整。最高管理層則通過信息安全管理中心全面準確地掌 握系統的安全狀況。
信息安全管理中心還具有評價信息安全管理體系運作情況的功 能。在實施信息安全管理的過程中,人是一個很重要的因素。如果組織機構中的人員對安全方針、安全制度和安全措施不滿意,信息安全管理體系就很難達到它預期 的目標。所以,信息安全管理中心會利用問題表對安全方針、安全制度和安全措施的實施結果進行調查,并分析這些安全舉措對組織機構的影響,然后提出相應的改 進方案。
該模型體現了以下信息安全管理原則:
信息安全策略的制定和安全保護措施的選擇建立在風險評估的基礎上;
考慮安全控制費用與風險平衡的原則,將風險降至組織可以接受的水平;
預防控制為主的思想原則;
商務持續性原則,即從故障與災難中恢復商務運作,減少故障與災難對關鍵商務過程的影響;
動態管理原則,即對風險實施動態管理;
全員參與的原則。
與原有的信息安全管理模型相比,新的信息安全管理模型具有如下優點:
充分體現了對信息安全的管理,而且有一個專門的信息安全管理中心用于對組織的信息安全進行協調和規劃。
具有動態性,能及時適應信息環境和信息技術的變化,并對信息安全策略和安全保護措施進行改善。
可行性高,對組織的規模、資金沒有具體的要求。任何組織都可以在其內部實施該信息安全管理模型,以實現其安全目標。
模型中的四個模塊之間連接緊密,循環性好,信息流動也快。通過四個模塊的循環和信息安全管理中心的管理,組織的信息系統的安全性可以不斷地得到提高。
總之,該新的信息安全管理模型在綜合運用現有的信息安全管理標準、管理方法、安全技術的基礎上克服了以往信息安全管理模型的缺點,實現了信息的保密性、完整性、可用性。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
