| 出版日期:2001-01-11 总期号:989 本年期号:04 |
|
 |
信息安全管理指南ISO13335
潘柱廷 ISO13335是一个信息安全管理指南,这个标准的主要目的就是要给出如何有效地实施IT安全管理的建议和指南。用户完全可以参照这个完整的标准制订出自己的安全管理计划和实施步骤。 主要内容 ● ISO13335是一个信息安全管理指南,这个标准的主要目的就是要给出如何有效地实施IT安全管理的建议和指南。该标准目前分为5个部分。 ● IT安全的概念和模型(Concepts and Models for IT Security),该部分包括了对IT安全和安全管理的一些基本概念和模型的介绍; IT安全的管理和计划(Managing and Planning IT Security),这个部分建议性地描述了IT安全管理和计划的方式、要点; IT安全的技术管理(Techniques for the Management of IT Security),覆盖了风险管理技术、IT安全计划的开发以及实施和测试,还包括一些后续的制度审查、事件分析、IT安全教育程序等; ● 防护的选择(Selection of safeguards),它是最新发布的一个部分,主要探讨如何针对一个组织的特定环境和安全需求来选择防护措施,这些措施不仅仅包括技术措施; ● 外部联接的防护(Safeguards for external connections),目前这个部分尚未发布(截止于2001年1月2日)。 对安全的六个定义 我们常见的很多信息安全文献中,定义“安全”主要包括三个方面:机密性、完整性、可用性,而在ISO13335-1中却定义了IT安全6个方面的含义: ● Confidentiality(保密性),确保信息不被非授权的个人、实体或者过程获得和访问; ● Integrity(完整性),包含数据完整性的内涵,即保证数据不被非法地改动和销毁,同样还包含系统完整性的内涵,即保证系统以无害的方式按照预定的功能运行,不受有意的或者意外的非法操作所破坏; ● Availability(可用性),保证授权实体在需要时可以正常地访问和使用系统; ● Accountability(负责性),确保一个实体的访问动作可以被惟一的区别、跟踪和记录; ● Authenticity(确实性),确认和识别一个主体或资源就是其所声称的,被认证的可以是用户、进程、系统和信息等; ● Reliability(可靠性),保证预期的行为和结果的一致性。 
风险管理关系模型图 可以看出,ISO13335-1中对我们的工作有很重要的指导意义。在ISO13335-4中就针对6方面的安全需求分别列出了一系列的防护措施。对安全的6个要点的阐述是对传统的3要点的更细致的定义。 独到的风险管理关系模型 对上面的一些安全管理要素,ISO13335给出了一个非常有意思的风险管理关系模型(如图所示)。 突出的五个方面 ISO13335和BS7799(ISO17799)比较起来对安全管理的过程描述得更加细致,而且有多种角度的模型和阐述。ISO13335有几个方面比较突出: 第一, 对安全的概念和模型的描述非常独特,具有很大的借鉴意义。在全面考虑安全问题,进行安全教育,普及安全理念的时候,完全可以将其中的多种概念和模型结合起来。 第二, 对安全管理过程的描述非常细致,而且完全可操作。作为一个企业的信息安全主管机关,完全可以参照这个完整的过程规划自己的管理计划和实施步骤。 第三, 对安全管理过程中的最关键环节风险分析和管理有非常细致的描述。包括基线方法、非形式化方法、详细分析方法和综合分析方法等风险分析方法学的阐述,对风险分析过程细节的描述都很有参考价值。 第四, 在标准的第四部分,有比较完整的针对6种安全需求的防护措施的介绍。将实际构建一个信息安全管理框架和防护体系的工作变成了一个搭积木的过程。 第五, 这个标准是一个开发的标准,标准还在不断的增加和改进中。现在标准的第五部分即将发布。 |
||||||||||||||
