国内外信息安全管理体系研究(完整资料） (可以直接使用，可编辑优秀版资料，欢迎下载） 管理 国内外信息安全管理体系研究 高文涛 广东电网公司惠州供电局,广东惠州5160０1） 要：该文对国内外主流的信息安全管理体系进行了梳理和研究,对不同体系的框架和内容进行探讨，为企业选择和建立适合的、完善的信息安全管理体系提供有意义的借鉴。 关键词：信息安全管理体系；风险分析；资产；等级保护 StｕｄyonInformationＳｅｃｕrityMaｎagemenｔAｃhitectuｒe GUOＷｅn—tａoAbastract：Inｔｈispaｐer,ｗeｄiscussdｏmesticandforｅiｇｎmａinstreaｍinformationsｅcｕｒitｙmａnagemeｎtsystemanｄexploｒeｄiffeｒｅntｓysｔemｓofｆramｅｗorｋandcｏntｅnｔforｅｎtｅrpriseｓandtheestablｉshmenｔｏfaｓuitaｂｌeopｔiｏn,prｏvideasouｎdinｆｏｒmationsecｕritymａnaｇementsyｓtemrefeｒenｃe.Keywords：ＩnformａtionＳecｕrｉtyMａnagｅmｅnｔSｙｓteｍ；RiskAnalｙsis;Assｅt；Leｖelｐrotｅctiｏn １概述 信息安全管理体系是针对企业整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系.为了建立和维护信息安全管理体系，国内外出台了许多相关的标准，在这些标准中明确了确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系. 目前国际上主流的信息系统管理体系的标准有 ISＯ/IＥC的国际标准１７７99，英国标准协会(ＢＳI）的 ７799系列，美国国家标准和技术委员会（NISＴ)的特别 出版物NＩＳＴSP80０系列；在我国,公安部出台了信息 安全等级保护制度。本文将对这些主流的信息安全管理体 系分别进行介绍。  安全信息安全:建立企业内的管理体系以便安全管理。内容包括企业内部信息安全责任;信息采集设施安全；可被第三方利用的信息资产的安全;外部信息安全评审。 资产管理：利用资产清单，分类处理,信息标签 等对信息资产进行保护. 2ＩＳＯ／IＥC17７9９ ISO/IEＣ17799是国际标准组织ＩSＯ/IEC所制定的国际标准.它建立了启动、实施、维护和改进信息安全管图1ＩSO/IEC1７７9９安全管理体系理的指导方针和通用原则,范围包括安全策略、信息安全（4)人员资源安全：为了降低人为错误、窃取、欺骗组织机构、资产管理、人力资源安全、物理和环境安全、及滥用相关设施的风险，来确保使用者意识到信息安全的通信和运行管理、访问控制、系统的开发与维护、信息安威胁，采用签署保密协议；定期的安全教育培训；安全事全事故管理安全、业务持续性管理、符合性等11项安全故与教训总结；惩罚措施等减少人为造成的风险.控制内容、39个主要安全类和1３3个具体控制措施的信（5）物理与环境安全：防止对关于IＴ服务的未经许可息安全管理控制措施集合.ISO/IEC1７799充分体现了的介入,损伤和干扰服务；避免对信息及其处理设施的破三分技术、七分管理的思想。基于ISO／ＩEＣ１7799所建坏或窃取.立的安全管理体系如图1所示.(６）通信与操作管理：确保信息处理设备的正确和安(1)安全策略：建立安全方针文档，为信息安全提供全的操作;降低系统失效的风险；保护软件和信息的完整管理方向和支持.性；维护信息处理和通讯的完整性和可用性；确保网络信 9５ 管理 息的安全措施和支持基础结构的保护；防止资产被损坏和风险评估:信息安全风险评估的复杂程度将取决于风险的 业务活动被干扰中断；防止企业间的交易信息遭受损坏，复杂程度和受保护资产的敏感程度,所采用的评估措施应 修改或误用。 该与企业对信息资产风险的保护需求相一致;（4)进行风 (７）访问控制:控制访问信息；阻止非法访问信息系险管理：根据风险评估的结果进行相应的风险管理，风 统;确保网络服务得到保护;阻止非法访问计算机；检测险管理的措施包括降低风险、避免风险、转嫁风险和接受 非法行为；保证在使用笔记本电脑和远程网络设备时信息风险;(5)选择管理控制目标：选择原则是费用不超过风 的安全。ﻩ险所造成的损失；（６）准备适用性声明:适用性声明纪录 （8)信息系统获取、开发与维护：确保信息安全保护了企业内相关的风险管制目标和针对每种风险所采取的各 深入到操作系统中；阻止应用系统中的用户数据的丢失,种控制措施. 修改或误用；确保信息的保密性，可靠性和完整性；确保