ISO27001信息安全風(fēng)險分類參考標(biāo)準(zhǔn)

2019/3/8 15:22:00 次

　　ISO27001信息安全風(fēng)險極其龐雜而又非常普遍，每種信息安全風(fēng)險都是不同的。

　　信息安全風(fēng)險可能是一個單一的風(fēng)險，也可能是多種風(fēng)險的組合;它可能是一般性的，也可能是特殊的;可能是人為有意的，也可能是無意的;可能在一個環(huán)節(jié)出現(xiàn)，也可能在多個不同的層面、不同的時間出現(xiàn)。如果能系統(tǒng)地考慮所有信息安全風(fēng)險，通過對不同層面、不同來源、不同階段的風(fēng)險實施分門別類的管理，用一個系統(tǒng)的、穩(wěn)定的、具備一致性的方法應(yīng)對風(fēng)險，就能把信息安全風(fēng)險降到最低。

　　目前國際上對信息安全風(fēng)險進行分類管理的權(quán)威標(biāo)準(zhǔn)有：

　　①ISO/IEC17799:2005 ——《信息技術(shù)-安全技術(shù)-信息安全管理實施細則》(Informati-on technology Security technology Code of practice for Information SecurityManagement);

　?、贜ISTSP800-26——美國國家標(biāo)準(zhǔn)技術(shù)局NIST(NationalInstitute of Standards and Technology )2001年12月發(fā)布的信息技術(shù)系統(tǒng)風(fēng)險安全自評估指南;

　?、跱ISTSP800-53——美國聯(lián)邦信息系統(tǒng)最低安全控制準(zhǔn)則。

　　1)ISO/IEC 17799《信息安全風(fēng)險管理細則》為大多數(shù)工商業(yè)組織提供了一個通用的信息安全風(fēng)險管理參考標(biāo)準(zhǔn)，已被世界上許多國家所采用。ISO/IEC17799 主要是側(cè)重于組織安全風(fēng)險和業(yè)務(wù)風(fēng)險管理方面，是一個系統(tǒng)化、程序化和文檔化的信息安全風(fēng)險管理體系。它涉及十一個安全風(fēng)險的管理方面，36個控制目標(biāo)，134項安全控制。這十一個安全風(fēng)險管理方面是：

　?、侔踩呗?

　?、跈C構(gòu)安全;

　?、圪Y產(chǎn)管理 ;

　?、苋肆Y源安全;

　?、菸锢砗铜h(huán)境安全 ;

　?、尥ㄐ藕筒僮鞴芾?

　?、咴L問控制;

　　⑧信息系統(tǒng)獲取、開發(fā) ;

　?、嵝畔踩录芾?

　　⑩業(yè)務(wù)連續(xù)性管理;

　?、戏闲?。

　　2)NISTSP800-26 《信息技術(shù)風(fēng)險安全自評估指南》，是為信息系統(tǒng)管理人員進行組織內(nèi)部風(fēng)險評估、開發(fā)風(fēng)險轉(zhuǎn)移計劃和進行安全決策提供一個參考的文檔，是組織對自身信息系統(tǒng) 開展風(fēng)險管理的一個好的選擇。評估指南是以調(diào)查問卷形式，采用層次結(jié)構(gòu)設(shè)計，調(diào)查范圍涉及主要信息系統(tǒng)、通用信息系統(tǒng)、支撐系統(tǒng)和內(nèi)部互聯(lián)系統(tǒng)。調(diào)查問題分為管理控制、操作控制和技術(shù)控制三個主要方面，每個方面有一系列子項，共17項：

　?、亠L(fēng)險管理;

　　②安全控制回顧 ;

　?、凵芷?

　?、苜Y格認證、鑒別;

　?、莅踩媱?

　?、奕藛T安全;

　　⑦物理安全;

　?、噍斎胼敵隹刂?

　　⑨連續(xù)性計劃;

　?、庥布拖到y(tǒng)軟件維護;

　?、闲畔⑼暾?

　　⑿文檔;

　?、岩庾R、培訓(xùn)和教育;

　?、沂录磻?yīng)能力 ;

　?、由矸菡J證;

　?、栽L問控制;

　?、諏徲嫼蛯徍?。

　　3)NISTSP800-53《美國聯(lián)邦信息系統(tǒng)最低安全控制準(zhǔn)則》，根據(jù)IT系統(tǒng)對機密性、完整性和可用性的低、中、高關(guān)注度，為其建立一組標(biāo)準(zhǔn)的最低安全控制。它分為管理控制、操作控制和技術(shù)控制三個種類，每一類都覆蓋了安全問題的不同方面，共十六個方面，包括：

　?、棚L(fēng)險管理;

　　⑵系統(tǒng)開發(fā)和采集;

　?、桥渲霉芾?

　?、认到y(tǒng)交互;

　?、扇藛T安全;

　?、拾踩庾R提升、教育培訓(xùn);

　?、宋锢硪约碍h(huán)境保護;

　　⑻媒介保護;

　?、蛻?yīng)急計劃;

　?、斡布c系統(tǒng)軟件維護;

　?、舷到y(tǒng)和數(shù)據(jù)的完整性;

　?、形臋n記錄;

　　⒀事故響應(yīng)能力;

　?、易R別和認證;

　?、哟嫒】刂?

　?、詫徲嫼屯ㄓ?。

　　確定了聯(lián)邦信息系統(tǒng)管理、技術(shù)和操作控制的底線。

上一篇：現(xiàn)有的信息安全管理模型

下一篇：ISO27001標(biāo)準(zhǔn)附錄“A.11訪問控制”解析

图片区小说区视频区综合免费,变态紧缚绳虐先锋影音,国产最新美女脚交视频,影音先锋2023AV天堂,AV在线亚洲男人的天堂梁先生,2021日本理论在线播放

項目類別

客戶驗廠項目

質(zhì)量/人權(quán)驗廠

品質(zhì)管理

供應(yīng)鏈安全

環(huán)境管理

食品安全

信息安全

風(fēng)險管理

ISO27001信息安全風(fēng)險分類參考標(biāo)準(zhǔn)

相關(guān)資訊

ISO27001信息安全管理體系標(biāo)準(zhǔn)的起源和發(fā)展

ISO27001信息安全管理體系標(biāo)準(zhǔn)的主要內(nèi)容

共有條評論網(wǎng)友評論

189-2289-2579

項目類別

ISO27001信息安全風(fēng)險分類參考標(biāo)準(zhǔn)

相關(guān)資訊

共有條評論 網(wǎng)友評論

189-2289-2579

共有條評論網(wǎng)友評論