|
|
|
|
|
|
2017-09-25
等级保护与ISO/IEC 27001概念对比信息系统安全等级保护是指对信息系统实行等级化的保护和管理。根据信息系统对国家利益、公共利益和社会稳定的重要性,实行分级、分类、分阶段实施保护,确保信息安全和系统安全正常运行,其核心是对信息系统安全分等级、按标准进行建设、管理和监督。等级保护的主要内容涉及四个方面:(1)对信息系统按重要性实行分级保护;(2)对系统中使用的信息安全产品实行按分级许可管理;(3)对等级系统的安全服务资质分级许可管理;(4)对信息系统中发生的信息安全事件分等级响应、处置。信息安全管理体系国际标准起源于英国的BS 7799标准,后逐渐形成国际标准ISO/IEC 27001,该标准主要由两大部分组成:ISO 27001是“信息安全管理体系要求” (Specification for Information Security Management Systems),是在组织内部建立信息安全管理体系(ISMS)的一套规范,其中详细说明了建立、实施、运行、监视、评审、保持和改进信息安全管理体系的模型和要求,其最终目的,通过规范的过程,建立适合组织实际要求的信息安全管理体系。ISO/IEC 27002即“信息安全管理实施指南” (Code of practice for Information Security Management Systems),提...
2017-09-25
《商业银行信息科技风险管理指引》共十一章七十六条,涵盖了信息科技风险管理的各个领域,同时针对银行现有的组织架构,对各部门也明确提出了风险管理的要求,以下将就主要条款做一个深入的解析。第一章总则,明确了指引的目标和适用范围,指出信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。第二章信息科技治理,明确提出了信息科技治理的概念,明确了信息科技风险管理的责任人,董事会的相关职责,并明确要求商业银行应设立或指派一个特定部门负责信息科技风险管理工作,并直接向首席信息官或首席风险官(风险管理委员会)报告工作。此章最重要的是明确了商业银行风险管理部门、信息科技部门以及内部审计部门在信息科技风险管理中承担不同的角色和职责,互相协作共同完善信息科技风险管理的架构。第三章信...
2015-02-09
1. 信息安全管理体系ISO/IEC 270011.1. 管理体系及其产业链管理体系是组织用来保证其完成任务,事件目标的过程集的框架。在ISO 9000:2000中,将其定义为建立方针和目标并实现这些目标的体系。注:一个组织的管理体系可包括若干个不同的管理体系,如质量管理体系、财务管理体系或环境管理体系。一个典型的管理体系框架如下图所示:图1-1目前存在很多的管理体系,例如质量管理体、系环境管理体系、职业健康管理体系、信息安全管理体系等。质量管理体系是出现比较早发展比较成熟的管理体系,其他管理体系或多或少都借鉴了质量管理体系的经验。管理体系形成的完整的产业链,如图11所示.信息安全管理体系正如其名称所表述的含义,就是关于信息安全的管理体系。信息安全管理体系是整个管理体系的一部分。它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的。ISMS的概念已经跳出了传统的“为了安全信息而信息安全”的理解,它强调的是基于业务风险方法来组织信息安全活动,其本身只是整个管理体系的一部分。这就要求我们站在全局的观点看待信息安全问题。图1231231.1. ISO/IEC 27000标准族1.1.1. ISO/IEC 27001发展历程ISO27000从诞生到现在只不过20年间的...
2015-02-09
ISO 20000:2011标准全面解析 第1章前言1.1 开发背景2005年12月,国际标准化组织正式发布ISO/IEC 20000-1:2005,至今已有五年多时间,这期间ISO 20000得到了国际社会的普遍认可和采纳。同时,随着IT 产业的快速发展,IT 服务管理也逐步走向成熟,期间各种管理方法论不断涌现:2007年,ITIL v3发布,2008年,新版ISO 9000发布,同年IT治理标准ISO/IEC 38500发布,这些方法论促进了IT服务的长足发展;08年的金融危机,使得监管部门对IT服务管理等内控工作提出了更高的要求,并将这些反映在SOX等法律法规中;而云计算、虚拟化等新技术的出现也深刻地影响着IT服务管理。另一方面,国际标准化组织内部也产生了一些积极的变化。这5年间,WG251得到了多个国家的认可,众多组织作为成员单位加入了这一工作组参与ISO 20000的研讨,成员单位对标准相继提出了一些修改意见;很多组织根据自己的实践经验,也向国际标准化组织对提出了一些关于ISO 20000的有价值的改进意见。国际标准化组织(ISO/IEC)根据各方意见对2005版进行修改,于2011年4月15日发布了IT服务管理最新国际标准——ISO/IEC 20000-1:2011。2011版在2005版的基础上,更好地融合ISO 9001、ITIL v3、ISO/IEC 27001等最佳...
2015-02-09
2011年信息安全领域颇不平静,目标明确的新式攻击、黑客猖行、信息安全业界资本风起云涌、网络世界血雨腥风,数据丢失造成的损失惨重,如今攻与防的较量日趋白热化,网络已经成为一个新兴的战场。随着互联网和移动智能终端的快速发展,其开放性、共享性、移动性程度不断扩大,国际化、社会化和个人化的特点不断显现,在带给人们诸多便捷的同时也伴随着大量的安全隐患:有组织的网络犯罪日趋增多,利益驱动下的网络安全攻击层出不穷,针对特定国家和政府的敌对性攻击也开始出现。与此同时,随着电子商务和交易的迅猛增长,信息资源在经济、社会活动中的地位日益凸显,由此引发的盗用商业秘密和个人信息的现象屡见不鲜,给企业和市民的切身利益构成了威胁。为了深刻揭示信息安全事件所带来的影响,更好应对信息安全风险,安言咨询汇编了相关媒体上发布的公开信息,以提名和投票的方式将过去一年中发生的重大信息安全事件做一个回顾,从中选出22件大事,编辑成《2011年度重大信息安全事件回顾报告》。本报告将从危及国家安全类、重大社会影响类、重大经济损失类三方面,汇总介绍2011年度具有典型意义的重大信息安全事件,并对事件进行了初步分级。
2015-02-09
等级保护与ISO/IEC 27001概念对比 信息系统安全等级保护是指对信息系统实行等级化的保护和管理。根据信息系统对国家利益、公共利益和社会稳定的重要性,实行分级、分类、分阶段实施保护,确保信息安全和系统安全正常运行,其核心是对信息系统安全分等级、按标准进行建设、管理和监督。 等级保护的主要内容涉及四个方面: (1)对信息系统按重要性实行分级保护; (2)对系统中使用的信息安全产品实行按分级许可管理; (3)对等级系统的安全服务资质分级许可管理; (4)对信息系统中发生的信息安全事件分等级响应、处置。 信息安全管理体系国际标准起源于英国的BS 7799标准,后逐渐形成国际标准ISO/IEC 27001,该标准主要由两大部分组成:ISO 27001是“信息安全管理体系要求” (Specification for Information Security Management Systems),是在组织内部建立信息安全管理体系(ISMS)的一套规范,其中详细说明了建立、实施、运行、监视、评审、保持和改进信息安全管理体系的模型和要求,其最终目的,通过规范的过程,建立适合组织实际要求的信息安全管理体系。ISO/IEC 27002即“信息安全管理实施指南” (Code of practice for Information Security Management Systems...
版权所有©上海安言信息技术有限公司 2014-2015
