本站小编为你精心准备了信息安全管理体系探讨参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。
《中国标准导报杂志》2015年第四期
1信息系统安全等级保护测评依据的标准
GB/T28449—2012《信息安全技术信息系统安全等级保护测评过程指南》规定了信息系统安全等级保护测评工作的测评过程,既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价,也适用于信息系统的运营使用单位在信息系统定级工作完成之后,对信息系统的安全保护现状进行的测试评价,获取信息系统的全面保护需求。GB/T28448—2012《信息安全技术信息系统安全等级保护测评要求》针对信息系统中的单项安全措施和多个安全措施的综合防范,对应地提出单元测评和整体测评的技术要求,用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。GB/T22239—2008《信息安全技术信息系统安全等级保护基本要求》根据现有技术的发展水平,提出和规定了不同安全保护等级信息系统的最低保护要求,即基本安全要求,包括基本技术要求和基本管理要求,该标准适用于指导不同安全保护等级信息系统的安全建设和监督管理。
2整合实施的思路
2.1审核与测评的过程整合整合是为了在组织内部建立一套信息安全管理体系及制度,而且该制度既符合信息安全管理体系又符合信息系统安全等级保护的管理要求,并给组织带来收益,避免不必要的冲突和资源浪费。根据对审核和测评的过程分析得知审核从表面上执行了测评的管理内容,但从整个审核和测评活动可得出,两者的活动内容和组织方式非常相似,因此具备很强的整合条件,两者的具体活动如表1所示。
2.2审核与测评的控制措施整合整合GB/T22239—2008中的控制措施部分与GB/T22080—2008的附录A完全可行,且整合后可避免多余、重复的管理资源。如GB/T22239—2008三级信息系统对资产管理的要求和GB/T22080—2008中的“A.7资产管理”基本保持了一致,具体标准条款映射如表2所示。若组织内存在等级保护三级或三级以上的信息系统,则该组织应建立信息安全管理制度体系,这与组织单独建立ISMS所达到的目标基本一样,从整合的角度来看,通过实施整合,可以取得“一举两得”的效果。具体的整合检查表如表3所示。
3结语
信息系统安全等级保护测评和信息安全管理体系审核,都是为实现和强化信息安全管理,做到分清责任机构,确认安全制度,预防和应对可能发生或者已经发生的信息系统管理问题。因此随着信息化工作的不断发展,信息安全管理体系审核和信息系统安全等级保护测评必将走上一条能够融合的道路。
作者:胡娟 谢宗晓 单位:公安部第三研究所 南开大学商学院