信息安全管理體系的實施
iso/iec17799的另一重要方面是信息安全管理體系的實施。在實施信息安全管理體系的時候���,主要是通過評估安全風(fēng)險����、設(shè)定安全要求和選擇控制手段,達(dá)到其信息安全的管理目標(biāo)���。因此�����,在實施信息安全管理體系的時候���,要注重以下三個方面:
*?評估信息安全風(fēng)險:信息安全風(fēng)險評估要求考慮信息安全失誤所造成的經(jīng)營性破壞���,要求考慮失去信息保密性、完整性和可用性和其它信息資產(chǎn)時所導(dǎo)致的潛在后果��。還需評估現(xiàn)行威脅和弱點導(dǎo)致信息安全失誤的可能性����,及目前實施的控制手段��。在管理信息安全風(fēng)險和實施控制手段防范風(fēng)險時���,上述信息安全風(fēng)險的評估結(jié)果有助于指導(dǎo)和決定采取適當(dāng)?shù)墓芾硇袆蛹捌鋬?yōu)先程度����。在一般情況下��,評估信息安全風(fēng)險和選擇管制手段的過程可能需要重復(fù)幾次�����。
*?設(shè)定對信息安全的要求:確認(rèn)信息安全方面的要求至關(guān)重要,通過對本單位的信息安全風(fēng)險評估��,可以確認(rèn)本單位的信息資產(chǎn)所面臨的威脅��。設(shè)定對信息安全的要求�,要考慮控制的弱點和危險發(fā)生的可能性,并對其潛在的影響加以估計�����。要考慮合作伙伴���、簽約方和服務(wù)提供商必須滿足的法律�、法規(guī)��、規(guī)章或契約方面的要求�。還要考慮為支持運營而發(fā)展出一套針對信息處理的原則、目標(biāo)和要求�����。同時還需要對信息安全控制方面的支出需要和安全失控時產(chǎn)生的危害進(jìn)行平衡和比較�����,以設(shè)定合理的對信息安全的要求。
*?選擇管制手段:安全要求一旦確定之后���,就應(yīng)選擇并實施控制手段以確保風(fēng)險被降到一個可接受的水平��。從立法角度審視�����,在選擇管制手段時要考慮:知識產(chǎn)權(quán)��、保護(hù)公司機(jī)密����、數(shù)據(jù)保護(hù)和個人信息的私密性����。對信息安全來說����,被認(rèn)為是最佳實施手段的管制手段包括:信息安全政策文件、信息安全權(quán)責(zé)的分配�����、信息安全教育和培訓(xùn)、安全事故的匯報和持續(xù)運營管理����。
管理風(fēng)險有許多不同的辦法,然而��,需要認(rèn)識的是有些控制手段并不是適用所有信息系統(tǒng)或環(huán)境�����,也不一定適合所有的單位或組織���。比如,對權(quán)責(zé)進(jìn)行分類以防止詐騙或失誤的控制手段�,對許多小的單位或組織來說,就不一定適合�����,而另外的辦法可能更好一些���?����?刂频倪x擇應(yīng)當(dāng)基于相對風(fēng)險而言的執(zhí)行控制時的成本����,也應(yīng)當(dāng)考慮其它非財務(wù)方面的因素,如對單位或組織名譽的損壞等等����。
