等第呵护、风险评估、成立信息安然治理系统这3种实现信息安然的编制都是当前***安然保障系统扶植中的热点话题。在这里,我们对这3种信息安然保障编制进行阐发和比较,以体味其优错误谬误。
1.等第呵护
1)首要内容
等第呵护是指导我国信息安然保障系统整体扶植的根本治理原则,是环绕信息安然保障全过程的一项根本性治理轨制,其核心内容是对信息安然分等第、按尺度进行扶植、治理和监督。
2)长处
等第呵护合用于宏不雅层面,是一种大年夜范围“基线安然”,合用于行业主管部门对信息安然的整体掌控与监控。
3)错误谬误
具体到某个组织的信息安然呵护而言,等第呵护的粒度划分较粗,在知足组织对信息安然的邃密节制要求方面还存在不足。是以,在知足监管部门的等第呵护要求以后,组织还可进一步把等第细化到各类层次的安然域,直至对一个个的信息资产进行有效治理。
2.信息安然治理系统(ISMS)
1)首要内容
近似于质量之于ISO9000,ISMS是组织为进步信息安然治理程度,遵循ISO27001的要求,在整体或特定范围内监理的信息安然方针和方针,和完成这些方针所用的编制和系统。它是直接治理勾当的成果,暗示为方针、原则、方针、编制、打算、勾当、法度、过程和资本的调集。
2)长处
ISMS触及了信息安然的11个范畴,133个节制办法,根基涵盖了信息安然的各个方面,合用于各类类型的组织用来成立一个整体的安然节制框架;ISMS更重视于把“安然治理”当作一种轨制来扶植,经由过程成立统一的方针、策略,和规范化安然法则,使ISMS实施主体能有效地辨认风险,延续不竭地采纳管控办法,以把风险降落到组织可接管的程度。
3)错误谬误
它只是描述了成立ISMS的思惟、框架,但对若何成立ISMS并没有一个具体明白的定义,也没有描述ISMS的最终形态;没有肯定成立信息安然系统的具体编制与手艺。是以,ISMS对实施者来讲留下来很大年夜的可把持空间,不合的组织和不合实施着对ISMS尺度的掌控可能不同很大年夜,ISMS整体程度也会有高低之分。
3.风险评估
1)首要内容
风险评估是获知组织当前风险程度的一种手段,在金融、电子商务等良多范畴都是有风险及风险评估需求的存在。当风险评估利用于IT安然范畴时,就是对信息安然的风险评估。
2)长处
风险评估从夙起简单的缝隙扫描、人工审计、渗入性测试这类类型的纯手艺把持,逐步过渡到今朝遍及采取ISO17799、OCTAVE、NIST SP800、NIST P800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等编制,充分表现以资产为解缆点、以威胁为触发、以手艺/治理/运行等方面存在的脆弱性为诱因的信息安然风险评估综合编制及把持模型。
国内这几年对信息安然风险评估的研究进展较快,具体的评估编制也在不断改进。原国信办2004年组织完成了《信息安然风险评估指南》及《信息安然风险治理指南》尺度草案的拟定,并在此中划定了信息安然风险评估的工作流程、评估内容、评估编制和风险鉴定准测,对规范我国信息安然风险评估的做法具有很好的指导意义。
3)错误谬误
《信息安然风险评估指南》所肯定的风险评估编制还只是一个通用的方***,具体到一个特定的单位,要对此中的风险进行准确地辨认与量化仍热是一件坚苦的工作,在很大年夜程度上要取决于评估者的经验。
另外一方面,《信息安然风险评估指南》主如果对所辨认的一个个静态资产进行风险评估,触及IT治理、IT治理流程、IT运维、IT审计、IT价值实现等方面的风险,其实不克不及完全套用以上信息资产的风险评估编制,因为这类风险触及组织的核心营业,组织对此加倍关心,是以,在实施信息安然过程中,准确地辨认此中的风险并能加以节制,对组织具有首要意义。
经由过程以上比较,我们觉得这3中编制都是实现信息安然的有效手段,但各有不合的侧重点,要真正实现信息安然要把这3者连络起来,并进行响应的扩大,摸索出一条合适中国特点的信息安然保障之路。