信息安全管理体系之风险评估

风险评估是信息安全管理体系(ISMS)建立的基础，是组织平衡安全风险和安全投入的依据，也是ISMS测量业绩、发现改进机会的最重要途径。     

信息安全管理系列专题之三——维护信息安全管理体系

信息安全技术是信息安全控制的重要手段,但单独依靠技术手段实现安全的能力是有限的。信息技术应当由适当的管理和程序来支持,否则安全技术发挥不了其应有的安全作用。即信息安全来自“三分技术,七分管理”,必须注重信息安全管理。组织可以参照信息安全管理模型,按照先进的信息安全管理标准BS7799建立完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平,从根本(?)业务的连续性,在本专题的前(?)已经分别介绍了信息安全管理(?)BS7799的(?)     

信息安全管理系列专题之六——PDCA过程模式在信息安全管理体系的应用

BS7799是国际上具有代表性的信息安全管理体系标准,其第二部分《信息安全管理体系规范》,是组织评价信息安全管理体系有效性、符合性的依据。它的最新版本(BS 7799-2:2002)是2002年9月5日修订的,引入了PDCA(Plan-Do-Check-Action)过程模式,作为建立、实施信息安全管理体系并持续改进其有效性的方法。 PDCA过程模式被ISO 9001、ISO     

信息安全管理系列专题之八 让信息安全体系走入企业

信息安全是企业关注的永恒话题。信息技术的应用,或许在一段时期内使企业有了“安全感”,但随着企业系统的日益复杂和安全需求的不断增加,建立与管理相结合的信息安全机制和体系成为必然趋势。本栏目举办“信息安全管理系列专题”,就是通过介绍目前为全球所关注的信息安全管理体系规范,让企业了解,信息安全不仅是技术问题,更是与企业的安全战略、业务目标和管理体系紧密结合的、一整套体系的建立和持续优化过程。我们希望这样一个抛砖引玉的专题内容,使读者在了解信息安全管理领域的最新进展和相应知识要点之外、还能激发思考与讨论,进而付诸实践。因此,本专题的最后一期,邀请科飞管理咨询有限公司吴昌伦、王毅刚先生结合一个虚拟电信运营商A公司的管理细节,进一步介绍读者关心的“为什么要建立信息安全管理体系,以及建立这个体系需要具备什么条件”等话题。     

信息安全管理与管理体系

目前我国的信息安全管理主要依靠传统的管理方法和手段来实现，传统的管理模式缺乏现代的系统管理思想，而技术手段又有其局限性。保护信息安全，国际公认的、最有效的方式是采用系统的方法(管理十技术)。目前国际性标准ISO／IEC 17799就是这样一套系统的信息安全管理方法。     

信息安全风险评估

信息安全是一个动态复杂的过程,保证信息安全、建立信息安全管理体系已成为目前社会各行业发展的首要任务.风险评估必须用到评估工具来完成对信息保护的工作,从而建立信息安全的管理体系.     

信息安全风险评估

重视信息化的风险,进一步研究解决信息安全风险评估的问题。     

信息安全 风险评估

信息系统的安全风险,是指由于系统存在的脆弱性、人为或自然的威胁,导致安全事件发生的可能性及其造成的影响。 信息安全风险评估,则是指依据有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行科学评价的过程。     

档案信息安全风险评估的组织管理

本文对处于起步阶段的档案信息安全风险评估组织管理进行了较详细的描述,主要从档案信息安全风险评估原则、开展方式、评估机构资质要求、评估各方职责等方面进行了分析和研究,并提出应建立档案信息安全风险评估长效机制。     

信息安全风险评估试点工作面面观：信息安全风险评估国家标准简述

2005年2月至2005年9月期间，国信办下发通知和《信息安全评估试点工作方案》，要求分别在银行、税务、电力等重要信息系统以及北京市、上海市、黑龙江省、云南省等地方的电子政务系统开展信息安全风险评估试点工作。 几个月来，试点单位积累了哪些经验，又发现了哪些不足，2005年12月16日，作为一次研讨性质的总结会“中国信息安全风险评估现状与展望高峰论坛”在京举行，与会的专家、学者、国家基础信息网络和重要信息系统风险评估试点单位的负责人纷纷表示，开展信息安全风险评估工作是社会发展和科技进步的必然要求，它将为推动我国信息安全保障工作的全面开展，进而为保障我国信息化建设的顺利实施产生深远的影响，但风险评估作为一种新的理念还需要人们去认同，作为一种方法论还需要人们去研究和把握，作为一种管理措施还需要主管部门大力推进。 在交流经验的过程中寻找不足之处，在不同的期待声中谋求一条共同的发展之道，作为此次大会的特别支持媒体。这是我们策划此次特别报道的初衷，同时希望通过刊登这组文章，对我国的信息安全风险评估工作，起到积极的推动作用。[编者按]     

信息安全风险评估探讨

文章对企业信息安全需求进行了分析,通过对信息安全管理标准BS7799描述,分析了其风险管理各要素间的关系,并定义了一种风险评估的基本流程,在此基础上构建了一种适于企业的风险分析法。     

信息安全风险评估模型

作为信息安全模型的一个关键环节,安全风险评估对于信息安全保障体系的完整建立有着极为重要的意义。本文介绍了周详型的风险评估方法,讨论了风险评估模型及信息资产价值确定、安全漏洞赋值及安全威胁赋值方法。最后,在评估获得的安全风险值的基础上,介绍了风险处置方法、安全需求分析及安全策略建议的设计思路。     

信息安全的风险评估

随着科技信息化的发展,信息安全问题成为信息系统最重要的问题之一。信息安全风险评估是建立信息系统安全体系的基础,能有力保障信息系统的安全性,促进国家信息化的发展。该文将对我国信息安全的风险评估问题进行探讨,并对信息安全风险评估的相关问题提出相应对策。     

信息安全风险评估研究

从信息系统的安全出发,介绍了风险评估的意义和作用,并阐述了信息风险评估的流程。     

对信息系统管理中信息安全风险评估研究

这些年来,随着信息科技的快速进步,信息系统管理中的信息安全工作也就越发重要,这也是社会上普遍关心的问题.对信息系统管理中的信息安全的影响要素加以评估,是对信息系统安全的关键性保护举措.本文通过对信息系统管理中信息安全的风险评估的现状展开分析,对信息的安全性和薄弱性加以详尽的阐述,进而给出信息安全风险评估建议,旨在为今后信息系统管理中信息安全风险的评估研究相关工作给予些许帮助.     

维护信息安全管理体系

信息安全技术是信息安全控制的重要手段，但单独依靠技术手段实现安全的能力是有限的。信息技术应当适当的管理和程序来支持，否则安全技术发挥不了其应有的安全作用。即信息安全来自“三分技术，七分管理”，必须注重信息安全管理。组织可以参照信息安全管理模型，按照选进的信息安全管理标准BS7799建立完整的信息安全管理体系并实施与保持，达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式，用最低的成     

我国信息安全管理体系

我国长期以来一直十分重视信息安全保密工作,并从敏感性、特殊性和战略性的高度,至始至终置于国家的绝对领导之下。国家密码管理部门、国家安全机关、公安机关和国家保密主管部门等分工协作,各司其职,形成了维护国家信息安全的管理体系。     

资产管理在信息安全管理体系中的作用

资产的范畴与资产管理的概念 我们通常所指的资产是经济范畴的概念，指一项经济资源。凡是由过去的交易、事项所形成的，有助于企业目前和未来的生产经营活动，预期能给企业带来经济效益，企业拥有使用权或控制权，并且能够以货币进行合理计量的经济资源，都是资产。按流动性将其分为：流动资产，长期投资，固定资产，无形资产，其他资产。信息安全领域所指的资产与此有别，从信息安全管理标准ISO17799（2005）提供的资产分类来看，ISO17799（2005）标准对资产的划分是在信息系统范畴进行的，分类如下：     

信息安全管理BS7799十大领域连载之七 访问控制

访问控制是对主体(Subject)访问客体(Object)的权限或能力的一种限制。 所谓主体是指可以访问对象的活动实体,例如需要访问数据资源的管理员,或修改数据的某个程序的某一进程等;所谓客体是指含有信息并接收访问的实体,如文件、程序、系统、信息处理设施等。 BS7799对问控制有八个方面的描述。     

智能家居行业研究系列专题(七)

经过十多年的发展,如今的智能家居行业已逐步完善了产品的高定位、单一化,以及服务体系的不健全等问题。智能家居行业的数字化、网络化、集成化的发展趋势越来越明显,发展程度也越来越高,其产品明显的体现出人性化、生活化、简单化等特点。另一方面,整个行业的发展模式也越来越成熟,不管是代理模式,合作模式还是直接面向终端客户进行销售,各大商家都在谋求自身发展的同时,推动了整个智能家居行业的发展。相信,随着2008年奥运会的到来,智能家居行业的发展道路将会越来越宽广。