BS7799系列講座之一:HTP模型圖及構(gòu)建

在我們看來,信息像其它重要的商務(wù)資產(chǎn)一樣,也是一種資產(chǎn),對一個組織而言具有價值,因而需要妥善保護(hù)?信息安全使信息避免一系列威脅,保障業(yè)務(wù)的連續(xù)性,最大限度地減少業(yè)務(wù)的損失,最大限度地獲取投資和業(yè)務(wù)的回報?

BS7799為保障信息的機(jī)密性?完整性和可用性提供了典范?BS7799是由英國標(biāo)準(zhǔn)協(xié)會(British Standards Institution,簡稱BSI)制定的信息安全管理體系標(biāo)準(zhǔn)?它包括兩部分,其第一部分《信息安全管理實施規(guī)則》于2000年12月被國際化標(biāo)準(zhǔn)組織(ISO)納入世界標(biāo)準(zhǔn),編號為ISO/IEC17799?BS7799廣泛地涵蓋了所有的信息安全議題,如安全方針的制定?安全責(zé)任的歸屬?風(fēng)險的評估?定義與強(qiáng)化安全參數(shù)及訪問控制,甚至包含防病毒的相關(guān)策略等?BS-7799已經(jīng)成為國際公認(rèn)的信息安全實施標(biāo)準(zhǔn),適用于各種產(chǎn)業(yè)與組織?

近日,我刊主辦了BS7799的系列培訓(xùn),內(nèi)容涵蓋了從具體的安全解決方案如設(shè)計和實施信息安全管理規(guī)劃,安全架構(gòu)搭建,ISO17799的審核到IT總體規(guī)劃的各個方面?講座受到了廣大行業(yè)和企業(yè)用戶的歡迎?

為了更系統(tǒng)?更全面?更準(zhǔn)確地將BS7799的知識介紹給更廣大的讀者,從本期開始,我們將配合培訓(xùn)組織系列講座?該講座將對組織信息安全的需求和ISO/IEC17799國際標(biāo)準(zhǔn)進(jìn)行探討,并講解BS7799-2:2002對信息安全管理體系的要求?同時探討信息安全的控制方法和風(fēng)險評估及信息安全管理體系內(nèi)部審核的基本概念?審核流程?體系的概念及審核重要進(jìn)行的主要活動和審核技巧等等?

組織為達(dá)到保護(hù)信息資產(chǎn)的目的,應(yīng)在“以人為本”的基礎(chǔ)上,充分利用現(xiàn)有的ISO13335?BS7799?CoBIT?ITIL等信息系統(tǒng)管理服務(wù)標(biāo)準(zhǔn)與最佳實踐,制定出周密的?系統(tǒng)的?適合組織自身需求的信息安全管理體系?

從宏觀的角度來看,我們認(rèn)為信息安全可以由HTP模型來描述:人員與管理?技術(shù)與產(chǎn)品?流程與體系?

在充分理解組織業(yè)務(wù)目標(biāo)?組織文件及信息安全的條件下,通過ISO13335的風(fēng)險分析的方法,通過建立組織的信息安全基線,可以對組織的安全的現(xiàn)狀有一個清晰的了解,并可以為以后進(jìn)行安全控制績效分析提供評價基礎(chǔ)?

長期以來,由于媒體報道的側(cè)重點(diǎn)以及生產(chǎn)商的廣告宣傳等多種因素的影響,國內(nèi)公眾對安全的認(rèn)識被廣泛誤導(dǎo)?有相當(dāng)一部分人認(rèn)為,黑客和病毒就已經(jīng)涵蓋了信息安全的一切威脅,似乎信息安全工作就是完全在與黑客與病毒打交道,全面系統(tǒng)的安全解決方案就是部署反病毒軟件?防火墻?入侵檢測系統(tǒng)?這種偏面的看法對一個組織實施有效的信息安全保護(hù)帶來了不良影響?

目前,各廠商?各標(biāo)準(zhǔn)化組織都基于各自的角度提出了各種信息安全管理的體系標(biāo)準(zhǔn)?這些基于產(chǎn)品?技術(shù)與管理層面的標(biāo)準(zhǔn)在某些領(lǐng)域得到了很好的應(yīng)用,但從組織信息安全的各個角度和整個生命周期來考察,現(xiàn)有的信息安全管理體系與標(biāo)準(zhǔn)是不夠完備的,特別是忽略了組織中最活躍的因素―人的作用?考察國內(nèi)外的各種信息安全事件,不難發(fā)現(xiàn),在信息安全事件表象后面,其實都是人的因素在起決定作用?不完備的安全體系是不能保證日趨復(fù)雜的組織信息系統(tǒng)安全性的?

因此,組織為達(dá)到保護(hù)信息資產(chǎn)的目的,應(yīng)在“以人為本”的基礎(chǔ)上,充分利用現(xiàn)有的ISO13335?BS7799?CoBIT?ITIL等信息系統(tǒng)管理服務(wù)標(biāo)準(zhǔn)與最佳實踐,制定出周密的?系統(tǒng)的?適合組織自身需求的信息安全管理體系?

什么是HTP模型

信息安全的建設(shè)是一個系統(tǒng)工程,它需求對信息系統(tǒng)的各個環(huán)節(jié)進(jìn)行統(tǒng)一的綜合考慮?規(guī)劃和構(gòu)架,并要時時兼顧組織內(nèi)不斷發(fā)生的變化,任何環(huán)節(jié)上的安全缺陷都會對系統(tǒng)構(gòu)成威脅?在這里可以引用管理學(xué)上的木桶原理加以說明?木桶原理指的是:一個木桶由許多塊木板組成,如果組成木桶的這些木板長短不一,那么木桶的最大容量不取決于長的木板,而取決于最短的那塊木板?這個原理同樣適用信息安全?

一個組織的信息安全水平將由與信息安全有關(guān)的所有環(huán)節(jié)中最薄弱的環(huán)節(jié)決定?信息從產(chǎn)生到銷毀的生命周期過程中,包括了產(chǎn)生?收集?加工?交換?存儲?檢索?存檔?銷毀等多個事件,表現(xiàn)形式和載體會發(fā)生各種變化,這些環(huán)節(jié)中的任何一個都可能影響整體信息安全水平?要實現(xiàn)信息安全目標(biāo),一個組織必須使構(gòu)成安全防范體系這只“木桶”的所有木板都要達(dá)到一定的長度?從宏觀的角度來看,我們認(rèn)為信息安全可以用HTP模型(模型圖見下頁)來描述:人員與管理(Human and management)?技術(shù)與產(chǎn)品(Technology and products)?流程與體系(Process and framework)?

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認(rèn)證、計量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202109/ccaa_27685.html