一個(gè)新的信息安全管理模型

本文依據(jù)信息安全的特性和管理的方法提出一個(gè)新的ISO27001信息安全管理模型，如下圖所 示。該模型由信息安全策略、安全保護(hù)措施、檢測(cè)、補(bǔ)救組成的一個(gè)循環(huán)鏈和信息安全管理中心兩部分組成，其中信息安全管理中心是整個(gè)系統(tǒng)的核心。循環(huán)鏈中的 每一個(gè)環(huán)節(jié)都要定期地與信息安全管理中心進(jìn)行安全信息交互，當(dāng)信息安全管理中心認(rèn)為有必要對(duì)組織的安全目標(biāo)進(jìn)行修改時(shí)，要向高層管理匯報(bào)。高層管理再對(duì)安 全目標(biāo)進(jìn)行最終的定奪。

信息安全管理模型

新的信息安全管理模型的具體實(shí)施過(guò)程如下：

（1）組織根據(jù)商業(yè)運(yùn)作流程將其信息系統(tǒng)劃分成不同的安全域。然后，組織運(yùn)用定性與定量相結(jié)合的綜合評(píng)估方法對(duì)所有的安全域進(jìn)行信息安全風(fēng)險(xiǎn)分析與評(píng)估，并將評(píng)估結(jié)果文檔化。最后，組織依據(jù)信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果建立基于ART2神經(jīng)網(wǎng)絡(luò)的動(dòng)態(tài)風(fēng)險(xiǎn)管理系統(tǒng)。

（2）組織根據(jù)風(fēng)險(xiǎn)分析與評(píng)估的結(jié)果、安全目標(biāo)、商業(yè)目標(biāo)制定最優(yōu)的信息安全策略，并把信息安全策略存儲(chǔ)到知識(shí)庫(kù)中，建立基于知識(shí)庫(kù)的信息安全策略管理系統(tǒng)。

（3） 組織根據(jù)信息安全策略選擇并實(shí)施安全保護(hù)措施。隨著安全技術(shù)和安全產(chǎn)品的改進(jìn)，這些安全保護(hù)措施也要不定期地更換。但更換后的保護(hù)措施仍然要遵循相應(yīng)的信 息安全策略。同時(shí)組織還要對(duì)其職員進(jìn)行安全教育與培訓(xùn)，并根據(jù)職員的不同角色為其制定不同的安全職責(zé)。每個(gè)職員都要制定一份個(gè)人年度信息安全計(jì)劃，并按照 計(jì)劃進(jìn)行工作，年底時(shí)要對(duì)安全計(jì)劃的執(zhí)行情況進(jìn)行檢查。

（4）對(duì)信息系統(tǒng)進(jìn)行安全保護(hù)以后并不能完全消除信息安全風(fēng)險(xiǎn)，所以要定期地監(jiān)控整個(gè)信息系統(tǒng)以發(fā)現(xiàn)不正常的活動(dòng)。組織可以建立基于 Agent 的信息安全監(jiān)控系統(tǒng)，實(shí)現(xiàn)對(duì)信息系統(tǒng)的實(shí)時(shí)監(jiān)控。

（5）當(dāng)信息系統(tǒng)被入侵成功并遭到破壞后，組織可以采取相應(yīng)的補(bǔ)救措施，使得組織的商業(yè)過(guò)程可以正常進(jìn)行，并重新進(jìn)行風(fēng)險(xiǎn)分析與評(píng)估，增加或 更改原有的信息安全保護(hù)措施。在信息系統(tǒng)正常運(yùn)行時(shí)，組織就要定期地對(duì)系統(tǒng)進(jìn)行備份。

（6） 信息安全管理中心是組織必須成立的一個(gè)安全管理部門(mén)，負(fù)責(zé)實(shí)施和監(jiān)控整個(gè)信息安全管理體系。信息安全管理模型中的每一個(gè)環(huán)節(jié)都必須與信息安全管理中心進(jìn)行 信息交互。當(dāng)某一個(gè)環(huán)節(jié)發(fā)現(xiàn)新的安全需求時(shí)，便立刻向信息安全管理中心匯報(bào)。信息安全管理中心在分析其它三個(gè)環(huán)節(jié)的運(yùn)作情況的基礎(chǔ)上，對(duì)整個(gè)信息安全系統(tǒng) 各個(gè)環(huán)節(jié)進(jìn)行調(diào)整，并在必要時(shí)與高層管理進(jìn)行信息交互，決定是否有必要對(duì)組織機(jī)構(gòu)的信息安全目標(biāo)進(jìn)行調(diào)整。最高管理層則通過(guò)信息安全管理中心全面準(zhǔn)確地掌 握系統(tǒng)的安全狀況。

信息安全管理中心還具有評(píng)價(jià)信息安全管理體系運(yùn)作情況的功 能。在實(shí)施信息安全管理的過(guò)程中，人是一個(gè)很重要的因素。如果組織機(jī)構(gòu)中的人員對(duì)安全方針、安全制度和安全措施不滿意，信息安全管理體系就很難達(dá)到它預(yù)期 的目標(biāo)。所以，信息安全管理中心會(huì)利用問(wèn)題表對(duì)安全方針、安全制度和安全措施的實(shí)施結(jié)果進(jìn)行調(diào)查，并分析這些安全舉措對(duì)組織機(jī)構(gòu)的影響，然后提出相應(yīng)的改 進(jìn)方案。
該模型體現(xiàn)了以下信息安全管理原則：

信息安全策略的制定和安全保護(hù)措施的選擇建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上；

考慮安全控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則，將風(fēng)險(xiǎn)降至組織可以接受的水平；

預(yù)防控制為主的思想原則；

商務(wù)持續(xù)性原則，即從故障與災(zāi)難中恢復(fù)商務(wù)運(yùn)作，減少故障與災(zāi)難對(duì)關(guān)鍵商務(wù)過(guò)程的影響；

動(dòng)態(tài)管理原則，即對(duì)風(fēng)險(xiǎn)實(shí)施動(dòng)態(tài)管理；

全員參與的原則。

與原有的信息安全管理模型相比，新的信息安全管理模型具有如下優(yōu)點(diǎn)：

充分體現(xiàn)了對(duì)信息安全的管理，而且有一個(gè)專門(mén)的信息安全管理中心用于對(duì)組織的信息安全進(jìn)行協(xié)調(diào)和規(guī)劃。

具有動(dòng)態(tài)性，能及時(shí)適應(yīng)信息環(huán)境和信息技術(shù)的變化，并對(duì)信息安全策略和安全保護(hù)措施進(jìn)行改善。

可行性高，對(duì)組織的規(guī)模、資金沒(méi)有具體的要求。任何組織都可以在其內(nèi)部實(shí)施該信息安全管理模型，以實(shí)現(xiàn)其安全目標(biāo)。

模型中的四個(gè)模塊之間連接緊密，循環(huán)性好，信息流動(dòng)也快。通過(guò)四個(gè)模塊的循環(huán)和信息安全管理中心的管理，組織的信息系統(tǒng)的安全性可以不斷地得到提高。

總之，該新的信息安全管理模型在綜合運(yùn)用現(xiàn)有的信息安全管理標(biāo)準(zhǔn)、管理方法、安全技術(shù)的基礎(chǔ)上克服了以往信息安全管理模型的缺點(diǎn)，實(shí)現(xiàn)了信息的保密性、完整性、可用性。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://bqlw.net/zs/202008/ccaa_5524.html