新的ISO27001信息安全管理模型

本文依據(jù)ISO27001信息安全的特性和管理的方法提出一個新的ISO27001信息安全管理模型,如下圖所示?該模型由信息安全策略?安全保護措施?檢測?補救組成的一個循環(huán)鏈和信息安全管理中心兩部分組成,其中ISO27001信息安全管理中心是整個系統(tǒng)的核心?循環(huán)鏈中的每一個環(huán)節(jié)都要定期地與信息安全管理中心進行安全信息交互,當信息安全管理中心認為有必要對組織的安全目標進行修改時,要向高層管理匯報?高層管理再對安全目標進行最終的定奪?

信息安全管理模型

新的ISO27001信息安全管理模型的具體實施過程如下:

(1)組織根據(jù)商業(yè)運作流程將其信息系統(tǒng)劃分成不同的安全域?然后,組織運用定性與定量相結(jié)合的綜合評估方法對所有的安全域進行信息安全風險分析與評估,并將評估結(jié)果文檔化?最后,組織依據(jù)信息安全風險評估結(jié)果建立基于ART2神經(jīng)網(wǎng)絡(luò)的動態(tài)風險管理系統(tǒng)?

(2)組織根據(jù)風險分析與評估的結(jié)果?安全目標?商業(yè)目標制定最優(yōu)的信息安全策略,并把信息安全策略存儲到知識庫中,建立基于知識庫的信息安全策略管理系統(tǒng)?

(3)組織根據(jù)信息安全策略選擇并實施安全保護措施?隨著安全技術(shù)和安全產(chǎn)品的改進,這些安全保護措施也要不定期地更換?但更換后的保護措施仍然要遵循相應(yīng)的信息安全策略?同時組織還要對其職員進行安全教育與培訓,并根據(jù)職員的不同角色為其制定不同的安全職責?每個職員都要制定一份個人年度信息安全計劃,并按照計劃進行工作,年底時要對安全計劃的執(zhí)行情況進行檢查?

(4)對信息系統(tǒng)進行安全保護以后并不能完全消除信息安全風險,所以要定期地監(jiān)控整個信息系統(tǒng)以發(fā)現(xiàn)不正常的活動?組織可以建立基于Agent的信息安全監(jiān)控系統(tǒng),實現(xiàn)對信息系統(tǒng)的實時監(jiān)控?

(5)當信息系統(tǒng)被入侵成功并遭到破壞后,組織可以采取相應(yīng)的補救措施,使得組織的商業(yè)過程可以正常進行,并重新進行風險分析與評估,增加或更改原有的信息安全保護措施?在信息系統(tǒng)正常運行時,組織就要定期地對系統(tǒng)進行備份?

(6)信息安全管理中心是組織必須成立的一個安全管理部門,負責實施和監(jiān)控整個信息安全管理體系?ISO27001信息安全管理模型中的每一個環(huán)節(jié)都必須與信息安全管理中心進行信息交互?當某一個環(huán)節(jié)發(fā)現(xiàn)新的安全需求時,便立刻向信息安全管理中心匯報?信息安全管理中心在分析其它三個環(huán)節(jié)的運作情況的基礎(chǔ)上,對整個信息安全系統(tǒng)各個環(huán)節(jié)進行調(diào)整,并在必要時與高層管理進行信息交互,決定是否有必要對組織機構(gòu)的信息安全目標進行調(diào)整?最高管理層則通過信息安全管理中心全面準確地掌握系統(tǒng)的安全狀況?

ISO27001信息安全管理中心還具有評價信息安全管理體系運作情況的功能?在實施信息安全管理的過程中,人是一個很重要的因素?如果組織機構(gòu)中的人員對安全方針?安全制度和安全措施不滿意,信息安全管理體系就很難達到它預(yù)期的目標?所以,ISO27001信息安全管理中心會利用問題表對安全方針?安全制度和安全措施的實施結(jié)果進行調(diào)查,并分析這些安全舉措對組織機構(gòu)的影響,然后提出相應(yīng)的改進方案?

該模型體現(xiàn)了以下ISO27001信息安全管理原則:

1.信息安全策略的制定和安全保護措施的選擇建立在風險評估的基礎(chǔ)上;

2.考慮安全控制費用與風險平衡的原則,將風險降至組織可以接受的水平;

3.預(yù)防控制為主的思想原則;

4.商務(wù)持續(xù)性原則,即從故障與災(zāi)難中恢復(fù)商務(wù)運作,減少故障與災(zāi)難對關(guān)鍵商務(wù)過程的影響;

5.動態(tài)管理原則,即對風險實施動態(tài)管理;

6.全員參與的原則?

與原有的信息安全管理模型相比,新的ISO27001信息安全管理模型具有如下優(yōu)點:

1.充分體現(xiàn)了對信息安全的管理,而且有一個專門的信息安全管理中心用于對組織的信息安全進行協(xié)調(diào)和規(guī)劃?

2.具有動態(tài)性,能及時適應(yīng)信息環(huán)境和信息技術(shù)的變化,并對信息安全策略和安全保護措施進行改善?

3.可行性高,對組織的規(guī)模?資金沒有具體的要求?任何組織都可以在其內(nèi)部實施該信息安全管理模型,以實現(xiàn)其安全目標?

4.ISO27001模型中的四個模塊之間連接緊密,循環(huán)性好,信息流動也快?通過四個模塊的循環(huán)和ISO27001信息安全管理中心的管理,組織的信息系統(tǒng)的安全性可以不斷地得到提高?

總之,該新的信息安全管理模型在綜合運用現(xiàn)有的信息安全管理標準?管理方法?安全技術(shù)的基礎(chǔ)上克服了以往信息安全管理模型的缺點,實現(xiàn)了信息的保密性?完整性?可用性?

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標準品供應(yīng)商，法規(guī)咨詢、標準服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202109/ccaa_27648.html