ARCE风险处理计划测量模型的设计与实现

提出用于定量测量风险处理计划有效性的ARCE模型,从理论上证明该模型的正确性.以组织信息安全资产的风险值和已实施控制措施为输入,通过中间变量矩阵得到风险处理计划有效性矩阵的模型量化指标体系.模型实现过程包括风险评估、风险处理、定量测量、安全事件管理和报表5个部分,并给出实施流程.应用结果表明,该模型能准确测量风险处理计...     

2020年ISO/IEC 27000标准族的进展

介绍了ISO/IEC 27000标准族的最新开发进展,尤其是2020年改版和新增的标准.     

ISMS-站在组织战略高度部署信息安全

信息安全是动态的过程,而不是一劳永逸的状态。如何使组织的信息在较长的时间内保证安全?毫无疑问,ISMS目前已经成为国内外业界主流的手段之一。     

国产商用对称密码算法及其相关标准介绍

1 对称密码算法 对称密码(symmetric cryptography)也称为共享密钥密码,是指用相同的密钥进行加密解密,其中的"对称"指的是加密密钥和解密密钥是相同的,或者用简单的运算就可以推导两个密钥.对称密码算法在逻辑上非常容易理解,因此出现的比较早,有时候也叫传统密码算法,以区别于公钥密码算法.     

场景证书合规性及法律效力探析

<正>传统的数字证书存储在智能密码钥匙中,也称UKey。用户需先要有UKey,然后申请、下载和使用证书,用于网络交易签名等业务场景。自2000年至今,数字证书存储介质及应用环境发生了巨大变化,UKey从1代（无屏无按钮）发展至2代（有屏有按钮）、3代（有屏有键盘+动态口令等）;业务终端环境从传统PC终端转移至移动端,以及其他专用终端,例如收单机构的POS终端。但数字证书的获取流程及应用功能本质上并未改变。     

美国金融网络安全标准及其开发框架介绍

美国国家标准协会(American National Standards Institute,ANSI)建立于1918年,是目前负责管理和协调美国推荐性标准(voluntary standards)和合格性评定体系(conformity assessment system)的机构. ANSI是一个私人的非营利组织,但其...     

VaR法在信息安全风险评估中的应用探讨

目前风险分析方法以定性分析为主。但是定性分析方法有很大的局限性:首先,定性的分析方法不是用数学或统计的工具将风险模型化,因此一次风险评估的成败与执行者的经验有很大的关系。其次,由于没有对影响大小给出具体的定量度量,因此使得对控制措施进行成本效益分析变得很困难。但是很多时候,做这种分析往往是必要的。本文讨论风险的定量测量VaR法在信息安全风险评估中的应用。     

基于ISO/IEC 27001:2013的集团企业信息安全管控设计

本文设计了一个大型集团企业的信息安全管控模式,该模式以ISO/IEC 27001:2013为基础,建立了一个四级文件架构的信息安全管理体系(ISMS)。本文可以为大型集团企业部署信息安全管理体系(ISMS)提供指导。     

国产商用密码算法SM3及其相关标准介绍

SM3密码杂凑算法发布于2010年12月17日1).密码杂凑算法也被称作"杂凑算法""散列算法"或"哈希算法".在GM/Z 0001-2013《密码术语》中,上述几个术语对应的英文都是hash algorithm. 1密码杂凑算法 密码杂凑算法的主要功能是将一个任意长的比特串映射到一个固定长的比特串. 假设任意长度的消...     

信息安全管理系列之二 信息安全:国家战略的视角

已上升为国家战略的信息安全需要通过治理结构调整、法律法规完善、人才培养及信息安全科研开发引导等方面的协同推进方能落到实处。