21:ISO/IEC TR 13335:IT安全的管理和计划部分包含哪些建议内容?
发布时间:2011年06月15日点击数: 作者:孙强 、孟秀转 来源:ITGov中国IT治理研究中心
【字体: 收藏 打印文章
摘要:
本部分分别讨论了组织内关于信息技术安全的各个方面,例如职责分工,信息安全论坛的创建,项目安排,系统安全人员的任命等。清晰描述了对于各个管理级别支持的需求,因为这对于在组织内部及所有系统中方法的统一是非常重要。因此,一个健全的公司信息技术安全策略应该考虑以下问题:

ISO/IEC TR 13335:IT安全的管理和计划部分包含哪些建议内容?

本部分分别讨论了组织内关于信息技术安全的各个方面,例如职责分工,信息安全论坛的创建,项目安排,系统安全人员的任命等。清晰描述了对于各个管理级别支持的需求,因为这对于在组织内部及所有系统中方法的统一是非常重要。因此,一个健全的公司信息技术安全策略应该考虑以下问题:

 目标——应该达成什么样的目标,如何达成目标,以及达成目标应该遵守什么样的规则?

 管理承诺——公司高层管理应该提供什么样承诺和支持?

 策略模型——各种策略:公司策略、市场策略、安全策略、信息技术策略、信息技术安全策略和特定系统的策略之间是什么样的关系?

 策略元素——是不是全面地涵盖了所需考虑的问题?
接着本部分描述了对于风险管理战略的选择,说明了其中的优势与劣势。其主要方法有:

 基线法——通过为所有系统选择合适的安全措施,可以做到基本级别的保护;

 非正式法——对所有系统程序化的风险分析。它需要个体经验的支持,比较适用于小型组织;

 详细的风险分析方法——一个详细的风险分析过程,需要从资产识别和定价开始,根据资产所面临的风险,合理选择安全措施,并定义剩余风险的可接受水平;

 综合评估法——对具有高风险的高级别系统进行更加详细的风险分析方法,对其他的系统可以只使用基线法。
其次,安全推荐部分介绍了不同类型的安全措施,它们之间的相互关系,以及选择和维护这些措施的建议,此外,还阐述了剩余风险的必然性及其分类——可分为

 可接受的剩余风险”和“不可接受的剩余风险”。
最后,在风险管理的讨论之后,接着简要介绍了下几点:

 IT系统安全政策——内容与签订;

 安全措施的实施——按计划实施安全措施,包括安全培训;

 安全防范意识——将安全意识推广到组织的各个层次;

 后续行动——安全措施和策略的持续检查与更新,评审安全策略的合规性,监控和故障处理等。

 

京ICP备06004481号   Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved