BS7799系列講座之一:HTP模型圖及構(gòu)建

在我們看來,信息像其它重要的商務(wù)資產(chǎn)一樣,也是一種資產(chǎn),對一個組織而言具有價值,因而需要妥善保護?信息安全使信息避免一系列威脅,保障業(yè)務(wù)的連續(xù)性,最大限度地減少業(yè)務(wù)的損失,最大限度地獲取投資和業(yè)務(wù)的回報?

BS7799為保障信息的機密性?完整性和可用性提供了典范?BS7799是由英國標準協(xié)會(British Standards Institution,簡稱BSI)制定的信息安全管理體系標準?它包括兩部分,其第一部分《信息安全管理實施規(guī)則》于2000年12月被國際化標準組織(ISO)納入世界標準,編號為ISO/IEC17799?BS7799廣泛地涵蓋了所有的信息安全議題,如安全方針的制定?安全責任的歸屬?風險的評估?定義與強化安全參數(shù)及訪問控制,甚至包含防病毒的相關(guān)策略等?BS-7799已經(jīng)成為國際公認的信息安全實施標準,適用于各種產(chǎn)業(yè)與組織?

近日,我刊主辦了BS7799的系列培訓,內(nèi)容涵蓋了從具體的安全解決方案如設(shè)計和實施信息安全管理規(guī)劃,安全架構(gòu)搭建,ISO17799的審核到IT總體規(guī)劃的各個方面?講座受到了廣大行業(yè)和企業(yè)用戶的歡迎?

為了更系統(tǒng)?更全面?更準確地將BS7799的知識介紹給更廣大的讀者,從本期開始,我們將配合培訓組織系列講座?該講座將對組織信息安全的需求和ISO/IEC17799國際標準進行探討,并講解BS7799-2:2002對信息安全管理體系的要求?同時探討信息安全的控制方法和風險評估及信息安全管理體系內(nèi)部審核的基本概念?審核流程?體系的概念及審核重要進行的主要活動和審核技巧等等?

組織為達到保護信息資產(chǎn)的目的,應(yīng)在“以人為本”的基礎(chǔ)上,充分利用現(xiàn)有的ISO13335?BS7799?CoBIT?ITIL等信息系統(tǒng)管理服務(wù)標準與最佳實踐,制定出周密的?系統(tǒng)的?適合組織自身需求的信息安全管理體系?

從宏觀的角度來看,我們認為信息安全可以由HTP模型來描述:人員與管理?技術(shù)與產(chǎn)品?流程與體系?

在充分理解組織業(yè)務(wù)目標?組織文件及信息安全的條件下,通過ISO13335的風險分析的方法,通過建立組織的信息安全基線,可以對組織的安全的現(xiàn)狀有一個清晰的了解,并可以為以后進行安全控制績效分析提供評價基礎(chǔ)?

長期以來,由于媒體報道的側(cè)重點以及生產(chǎn)商的廣告宣傳等多種因素的影響,國內(nèi)公眾對安全的認識被廣泛誤導?有相當一部分人認為,黑客和病毒就已經(jīng)涵蓋了信息安全的一切威脅,似乎信息安全工作就是完全在與黑客與病毒打交道,全面系統(tǒng)的安全解決方案就是部署反病毒軟件?防火墻?入侵檢測系統(tǒng)?這種偏面的看法對一個組織實施有效的信息安全保護帶來了不良影響?

目前,各廠商?各標準化組織都基于各自的角度提出了各種信息安全管理的體系標準?這些基于產(chǎn)品?技術(shù)與管理層面的標準在某些領(lǐng)域得到了很好的應(yīng)用,但從組織信息安全的各個角度和整個生命周期來考察,現(xiàn)有的信息安全管理體系與標準是不夠完備的,特別是忽略了組織中最活躍的因素―人的作用?考察國內(nèi)外的各種信息安全事件,不難發(fā)現(xiàn),在信息安全事件表象后面,其實都是人的因素在起決定作用?不完備的安全體系是不能保證日趨復雜的組織信息系統(tǒng)安全性的?

因此,組織為達到保護信息資產(chǎn)的目的,應(yīng)在“以人為本”的基礎(chǔ)上,充分利用現(xiàn)有的ISO13335?BS7799?CoBIT?ITIL等信息系統(tǒng)管理服務(wù)標準與最佳實踐,制定出周密的?系統(tǒng)的?適合組織自身需求的信息安全管理體系?

什么是HTP模型

信息安全的建設(shè)是一個系統(tǒng)工程,它需求對信息系統(tǒng)的各個環(huán)節(jié)進行統(tǒng)一的綜合考慮?規(guī)劃和構(gòu)架,并要時時兼顧組織內(nèi)不斷發(fā)生的變化,任何環(huán)節(jié)上的安全缺陷都會對系統(tǒng)構(gòu)成威脅?在這里可以引用管理學上的木桶原理加以說明?木桶原理指的是:一個木桶由許多塊木板組成,如果組成木桶的這些木板長短不一,那么木桶的最大容量不取決于長的木板,而取決于最短的那塊木板?這個原理同樣適用信息安全?

一個組織的信息安全水平將由與信息安全有關(guān)的所有環(huán)節(jié)中最薄弱的環(huán)節(jié)決定?信息從產(chǎn)生到銷毀的生命周期過程中,包括了產(chǎn)生?收集?加工?交換?存儲?檢索?存檔?銷毀等多個事件,表現(xiàn)形式和載體會發(fā)生各種變化,這些環(huán)節(jié)中的任何一個都可能影響整體信息安全水平?要實現(xiàn)信息安全目標,一個組織必須使構(gòu)成安全防范體系這只“木桶”的所有木板都要達到一定的長度?從宏觀的角度來看,我們認為信息安全可以用HTP模型(模型圖見下頁)來描述:人員與管理(Human and management)?技術(shù)與產(chǎn)品(Technology and products)?流程與體系(Process and framework)?

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標準品供應(yīng)商，法規(guī)咨詢、標準服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202109/ccaa_27685.html