信息安全管理与管理体系 1、信息安全管理与管理体系信息安全管理与管理体系科飞管理咨询有限公司吴昌伦王毅刚目前我国的信息安全管理主要依靠传统的管理方法和手段来实现,传统的管理模式缺乏现代的系统管理思想,而技术手段又有其局限性。爱护信息安全,国际公认的、最有效的方式是采纳系统的方法〔管理+技术〕。目前国际性标准 ISO/IEC17799 就是这样一套系统的信息安全管理方法。本栏目特别邀请出版了《信息安全管理概论—BS7799 理解与实施》、《BS7799 和ISO/IEC17799 信息安全管理体系及其认证认可相关学问问答》两书的科飞管理咨询有限公司的顾问专家,阐述运用相关国际标准实施 2、信息安全管理体系应当留意的问题。组织的信息资产和其他资产一样对组织具有重要作用,组织为了保证这些信息资产的安全,需要付出持续的努力。在实行行动之前,需要首先理解信息安全的目标。明确信息安全管理目标明确信息安全管理目标为了保障组织信息资产的安全,为了更好的理解和便于操作,信息安全管理目标通常被分解为保持组织信息资产及其所支持业务流程的三独特质:保密性(Confidentiality)、完好性(Integrity)和可用性(Availability)。保密性保障信息只有被授权使用的人可以访问。完好性爱护信息及其处理方法的精确性和完好性。可用性保障授 3、权使用人在需要时可以猎取信息和使用相关的资产。各类组织,无论其规模和性质,其信息安全管理行为的目的都是为了保障组织的信息资产及其所支持业务流程的保密性、完好性和可用性。假如把组织的信息安全管理行为作为一个过程(一组将输入转化为输出的互相关联或互相作用的活动,见ISO9000:2000《质量管理体系—基础和术语》)来看待,其输入应当是组织和其他相关方对组织信息安全管理的要求和期望,而输出应当是令组织和相关方满意的信息安全状态〔见图 1〕。图 1:信息安全管理过程作用示意图组织不仅需要到达满意的信息安全状态,而且要持续地保持这种状态。这要求组织建立保持 4、机制,保证组织能够不断的识别并适应自身状况和环境的改变。应用系统方法解决系统问题应用系统方法解决系统问题实践证明,信息安全是个冗杂的系统问题,必需以系统的方法来解决。建立管理体系(建立方针和目标并实现这些目标的体系,见 ISO9000:2000《质量管理体系—基础和术语》)是系统解决冗杂问题的有效方法。正犹如为了保证质量管理的有效性、充分性和适合性,组织需要建立质量管理体系(QMS);为了保证信息安全...
