信息安全管理體系的實施
iso/iec17799的另一重要方面是信息安全管理體系的實施�����。在實施信息安全管理體系的時候����,主要是通過評估安全風險��、設定安全要求和選擇控制手段�����,達到其信息安全的管理目標�����。因此���,在實施信息安全管理體系的時候,要注重以下三個方面:
*?評估信息安全風險:信息安全風險評估要求考慮信息安全失誤所造成的經(jīng)營性破壞�,要求考慮失去信息保密性、完整性和可用性和其它信息資產(chǎn)時所導致的潛在后果��。還需評估現(xiàn)行威脅和弱點導致信息安全失誤的可能性�����,及目前實施的控制手段����。在管理信息安全風險和實施控制手段防范風險時,上述信息安全風險的評估結果有助于指導和決定采取適當?shù)墓芾硇袆蛹捌鋬?yōu)先程度。在一般情況下��,評估信息安全風險和選擇管制手段的過程可能需要重復幾次����。
*?設定對信息安全的要求:確認信息安全方面的要求至關重要,通過對本單位的信息安全風險評估���,可以確認本單位的信息資產(chǎn)所面臨的威脅�。設定對信息安全的要求��,要考慮控制的弱點和危險發(fā)生的可能性��,并對其潛在的影響加以估計��。要考慮合作伙伴�、簽約方和服務提供商必須滿足的法律�����、法規(guī)�、規(guī)章或契約方面的要求。還要考慮為支持運營而發(fā)展出一套針對信息處理的原則��、目標和要求。同時還需要對信息安全控制方面的支出需要和安全失控時產(chǎn)生的危害進行平衡和比較��,以設定合理的對信息安全的要求���。
*?選擇管制手段:安全要求一旦確定之后�,就應選擇并實施控制手段以確保風險被降到一個可接受的水平��。從立法角度審視���,在選擇管制手段時要考慮:知識產(chǎn)權�����、保護公司機密�、數(shù)據(jù)保護和個人信息的私密性�����。對信息安全來說����,被認為是最佳實施手段的管制手段包括:信息安全政策文件、信息安全權責的分配����、信息安全教育和培訓���、安全事故的匯報和持續(xù)運營管理。
管理風險有許多不同的辦法����,然而,需要認識的是有些控制手段并不是適用所有信息系統(tǒng)或環(huán)境�����,也不一定適合所有的單位或組織�。比如,對權責進行分類以防止詐騙或失誤的控制手段�����,對許多小的單位或組織來說��,就不一定適合��,而另外的辦法可能更好一些����。控制的選擇應當基于相對風險而言的執(zhí)行控制時的成本�����,也應當考慮其它非財務方面的因素���,如對單位或組織名譽的損壞等等���。
