信息安全管理體系的實(shí)施
iso/iec17799的另一重要方面是信息安全管理體系的實(shí)施�����。在實(shí)施信息安全管理體系的時(shí)候���,主要是通過(guò)評(píng)估安全風(fēng)險(xiǎn)�����、設(shè)定安全要求和選擇控制手段����,達(dá)到其信息安全的管理目標(biāo)����。因此,在實(shí)施信息安全管理體系的時(shí)候���,要注重以下三個(gè)方面:
*?評(píng)估信息安全風(fēng)險(xiǎn):信息安全風(fēng)險(xiǎn)評(píng)估要求考慮信息安全失誤所造成的經(jīng)營(yíng)性破壞���,要求考慮失去信息保密性、完整性和可用性和其它信息資產(chǎn)時(shí)所導(dǎo)致的潛在后果�����。還需評(píng)估現(xiàn)行威脅和弱點(diǎn)導(dǎo)致信息安全失誤的可能性,及目前實(shí)施的控制手段��。在管理信息安全風(fēng)險(xiǎn)和實(shí)施控制手段防范風(fēng)險(xiǎn)時(shí)�����,上述信息安全風(fēng)險(xiǎn)的評(píng)估結(jié)果有助于指導(dǎo)和決定采取適當(dāng)?shù)墓芾硇袆?dòng)及其優(yōu)先程度�。在一般情況下,評(píng)估信息安全風(fēng)險(xiǎn)和選擇管制手段的過(guò)程可能需要重復(fù)幾次�����。
*?設(shè)定對(duì)信息安全的要求:確認(rèn)信息安全方面的要求至關(guān)重要�,通過(guò)對(duì)本單位的信息安全風(fēng)險(xiǎn)評(píng)估,可以確認(rèn)本單位的信息資產(chǎn)所面臨的威脅��。設(shè)定對(duì)信息安全的要求����,要考慮控制的弱點(diǎn)和危險(xiǎn)發(fā)生的可能性����,并對(duì)其潛在的影響加以估計(jì)����。要考慮合作伙伴���、簽約方和服務(wù)提供商必須滿足的法律�、法規(guī)�、規(guī)章或契約方面的要求。還要考慮為支持運(yùn)營(yíng)而發(fā)展出一套針對(duì)信息處理的原則�����、目標(biāo)和要求����。同時(shí)還需要對(duì)信息安全控制方面的支出需要和安全失控時(shí)產(chǎn)生的危害進(jìn)行平衡和比較,以設(shè)定合理的對(duì)信息安全的要求���。
*?選擇管制手段:安全要求一旦確定之后�����,就應(yīng)選擇并實(shí)施控制手段以確保風(fēng)險(xiǎn)被降到一個(gè)可接受的水平�����。從立法角度審視���,在選擇管制手段時(shí)要考慮:知識(shí)產(chǎn)權(quán)����、保護(hù)公司機(jī)密�、數(shù)據(jù)保護(hù)和個(gè)人信息的私密性。對(duì)信息安全來(lái)說(shuō)�����,被認(rèn)為是最佳實(shí)施手段的管制手段包括:信息安全政策文件����、信息安全權(quán)責(zé)的分配、信息安全教育和培訓(xùn)����、安全事故的匯報(bào)和持續(xù)運(yùn)營(yíng)管理。
管理風(fēng)險(xiǎn)有許多不同的辦法����,然而��,需要認(rèn)識(shí)的是有些控制手段并不是適用所有信息系統(tǒng)或環(huán)境,也不一定適合所有的單位或組織����。比如,對(duì)權(quán)責(zé)進(jìn)行分類以防止詐騙或失誤的控制手段���,對(duì)許多小的單位或組織來(lái)說(shuō)�����,就不一定適合���,而另外的辦法可能更好一些??刂频倪x擇應(yīng)當(dāng)基于相對(duì)風(fēng)險(xiǎn)而言的執(zhí)行控制時(shí)的成本,也應(yīng)當(dāng)考慮其它非財(cái)務(wù)方面的因素�,如對(duì)單位或組織名譽(yù)的損壞等等。
