【正文】 技術(shù)、管理和法制之間的關(guān)系，以管代法，用行政管技術(shù)的做法仍較普遍，造成制度的可操作性較差；信息安全意識缺乏，普遍存在重產(chǎn)品、輕服務(wù)，重技術(shù)、輕管理的思想；專項經(jīng)費投入不足，管理人才極度缺乏，基礎(chǔ)理論研究和關(guān)鍵技術(shù)薄弱，技術(shù)創(chuàng)新不夠， 28 信息安全管理產(chǎn)品水平和質(zhì)量不高，尤其是以集中配置、集中管理、狀態(tài)報告和策略互動為主要任務(wù)的安全管理平臺產(chǎn)品的研究與開發(fā)還很落后；等等。例如最近國內(nèi)發(fā)生的兩起重大鐵路交通事故：“ ”膠濟鐵路特別重大交通事故和“ ”甬溫線特別重大鐵路交通事故。雷擊也造成 5829AG軌道電路發(fā)送器與列控中心通信故障，使從永嘉站出發(fā)駛向溫州南站的 D3115次列車超速防護系統(tǒng)自動制動，在5829AG區(qū)段內(nèi)停車。而今天的計算機使用者大都很少受到嚴格的培訓，每天都在以不安全的方式處理著企業(yè)的大量重要信息， 37 而且企業(yè)的貿(mào)易伙伴、咨詢顧問、合作單位等外部人員都以不同的方式使用著企業(yè)的信息系統(tǒng)，他們都對企業(yè)的信息系統(tǒng)構(gòu)成了潛在的威脅。 (4) 制定業(yè)務(wù)持續(xù)性計劃和災難恢復計劃。 在進行信息安全管理的過程中，需要遵循的原則有： ① 基于安全需求原則。 ⑤ 持續(xù)改進原則。 44 ⑧ 選用成熟技術(shù)原則。組織機構(gòu)要對自己的信息系統(tǒng)安全保護負責，政府相關(guān)部門有責任對信息系統(tǒng)的安全進行指導、監(jiān)督和檢查，形成自管、自查、自評和國家監(jiān)管相結(jié)合的管理模式，提高信息系統(tǒng)的安全保護能力和水平，保障國家信息安全。 破壞類型的威脅 (例如破壞設(shè)備、破壞數(shù)據(jù)文件、引入惡意代碼等 )。與資產(chǎn)相關(guān)的脆弱性包括物理布局、組織、規(guī)程、人事、管理、行政、硬件、軟件或信息等弱點，以及與系統(tǒng)相關(guān)的脆弱性如分布式系統(tǒng)易受傷害的特征等。 (6) 保護措施。 54 圖 53 信息安全管理模型 55 信息安全需求是信息安全的出發(fā)點，它包括保密性需求、完整性需求、可用性需求、抗抵賴性需求、可控制性需求和可靠性需求等。 由于 BS 77991采用指導和建議的方式編寫，不適合作為認證標準使用。目前世界上包括中國在內(nèi)的絕大多數(shù)政府簽署協(xié)議支持并認可 ISO/IEC 17799標準。 ISO/IEC 27000:2023《信息技術(shù) — 安全技術(shù) — 信息安全管理體系原理和術(shù)語》； ISO 27799:2023《健康信息 — 應用 ISO/IEC 27002的醫(yī)療信息安全管理》。ISO/IEC 13335— 5:2023《網(wǎng)絡(luò)安全管理指南》。 74 截止 2023年底， NIST發(fā)布 SP 800系列共 126篇，例如： SP 80053A《信息安全控制措施評估研究》 77 聯(lián)邦信息處理標準 (FIPS， Federal Information Processing Standards)是一套描述文件處理、加密算法和其他信息技術(shù)標準 (在非軍用、政府機構(gòu)和與這些機構(gòu)合作的政府承包商及供應商中應用的標準 )的標準。而 SP 80053A則是在對信息系統(tǒng)進行分類和選擇安全控制措施基礎(chǔ)之上進行了按控制措施評估，來確定安全控制實現(xiàn)的有效性。其方法是通過風險評估、風險管理引導企業(yè)的信息安全要求，并提供 10大管理控制方面， 36個管理控制目標， 127種安全控制措施的三級結(jié)構(gòu)供選擇和使用。 85 表 51 BS 77991中控制方面、控制目標與控制措施 控 制 方 面 控 制 目 標 控 制 措 施 安全方針 ( 1 ， 2 ) 為信息安全提供管理方向和支持 建立安全方針文檔，并評審與評價方針 安全組織 ( 3 ， 10 ) 建立組織內(nèi)的管理體系，以便安全管理 完善組織結(jié)構(gòu)，控制組織內(nèi)部信息安全，保證被第三方訪問的設(shè)施和信息資產(chǎn)安全，進行外部信息安全評審，確保外包合同安全 資產(chǎn)分類與控制 ( 2 ， 3 ) 維護組織資產(chǎn)的適當保護系統(tǒng) 制定資產(chǎn)清單，進行信息標簽分類，確保信息資產(chǎn)受到適當保護 人員安全 ( 3 ， 10 ) 減少人為造成的風險 減少錯 誤、盜竊、濫用等造成的風險，進行教育培訓，完善事故反應機制，總結(jié)教訓，獎罰并用 物理與環(huán)境安全 ( 3 ， 13 ) 防止未許可的介入、損傷和干擾服務(wù) 阻止對工作區(qū)和物理設(shè)備的非法進入，防止資產(chǎn)的丟失、損壞或泄露造成業(yè)務(wù)活動的中斷，桌面與屏幕管理阻止信息的泄露 通信和運營管理 ( 7 ， 24 ) 保證通信和操作設(shè)備的正確和安全 確保信息處理設(shè)備的正確與安全操作，減少系統(tǒng)失效風險，保持軟件和信息的完整性，保持信息處理和通信的完整性和有效性，確保網(wǎng)絡(luò)中信息及其支持系統(tǒng)的安全，防止資產(chǎn)損壞和業(yè)務(wù)活動中斷，防止組織間在交換信息時 發(fā)生信息丟失、更改和 誤用 訪問控制 ( 8 ， 31 ) 控制對業(yè)務(wù)信息的 訪問 控制信息訪問，防止非授權(quán)訪問設(shè)備、計算機、系統(tǒng)及信息，保護網(wǎng)絡(luò)服務(wù)，檢測非法行為，確保使用移動式計算和遠程工作設(shè)施時的信息安全 系統(tǒng)開發(fā)與維護 ( 5 ， 18 ) 保證系統(tǒng)開發(fā)與維護的安全 確保安全性深入到操作系統(tǒng)中，防止應用系統(tǒng)用戶數(shù)據(jù)的丟失、修改或誤用，保護信息的保密性、完整性和可靠性，保證 IT 方案及其支持活動以安全的方式進行，維護應用系統(tǒng)軟件和信息的安全 業(yè)務(wù)持續(xù)性管理 ( 1 ， 5 ) 防止商業(yè)活動中斷和事故的影響 防止業(yè)務(wù)活動的中斷， 并保護關(guān)鍵業(yè)務(wù)過程不受重大事故或災難影響 法律符合性 ( 3 ， 11 ) 避免任何違反法律法規(guī)、合同等行為 避免與有關(guān)法律法規(guī)或合同約定事項相抵觸，確保安全體系按安全方針及標準執(zhí)行，將系統(tǒng)的審核效果最大化，并使其影響最小化 86 2.? BS 77992 BS 77992規(guī)定了建立、實施和維護信息安全管理體系的要求，規(guī)定了根據(jù)組織的需要應實施安全控制的要求。 89 (2) 確定 ISMS的范圍。 根據(jù)信息安全方針、所要求的安全程度和風險評估的結(jié)果進行相應的風險管理， 91 管理風險包括識別所需的安全措施，通過降低、避免、轉(zhuǎn)移將風險降為可接受的水平。 93 除此之外，在建立信息安全管理體系的過程中，需要按標準要求建立管理的證據(jù)，即信息安全管理體系文件，它一般包括方針、適用性聲明、方針手冊、程序文件、作業(yè)指導書和記錄等。各單位以此建立自己的信息安全管理體系，可以在別人的基礎(chǔ)上根據(jù)自己的實際情況選擇引入 BS 7799的模式。 98 (6) 獲得國際認可的認證證書，能得到國際上的承認。其作用主要有以下幾個方面： 101 為了支持審計工作，要求數(shù)據(jù)庫管理系統(tǒng)具有高可靠性和高完整性，在審計數(shù)據(jù)的獲取、傳輸、存儲過程中都應該注意安全問題。 103 安全管理機構(gòu)的人員應該包括領(lǐng)導和專業(yè)人員，按不同任務(wù)進行分工以確立各自的責任，一類人員負責確定安全措施，包括方針政策、策略的制定，并協(xié)調(diào)和監(jiān)督檢查安全措施的實施，另一類人員是分工具體管理系統(tǒng)的安全工作。 106 4. 加強安全管理 在健全管理機構(gòu)和人事管理制度后，具體的工作就是安全管理。 108 信息安全管理是信息安全保障體系建設(shè)的重要組成部分，對于保護信息資源、降低信息系統(tǒng)安全風險、指導信息安全體系建設(shè)具有重要作用，是組織中用于指導和管理各種控制信息安全風險、相互協(xié)調(diào)的活動，有效的信息安全管理要盡量做到在有限的成本下，保證系統(tǒng)中的信息安全。 企業(yè)或組織具體選擇 ISMS的范圍模式，取決于組織的實際需要，一個組織可以為企業(yè)的不同部分、不同方面定義不同的 ISMS，并且關(guān)鍵在于企業(yè)的重視程度和制度落實的情況。 2023年 3月 8日星期三 下午 11時 17分 8秒 23:17: 1比不了得就不比，得不到的就不要。 23:17:0823:17:0823:17Wednesday, March 8, 2023 1不知香積寺，數(shù)里入云峰。 23:17:0823:17:0823:173/8/2023 11:17:08 PM 1越是沒有本領(lǐng)的就越加自命不凡。 下午 11時 17分 8秒 下午 11時 17分 23:17: MOMODA POWERPOINT Lorem ipsum dolor sit amet, consectetur adipiscing elit. Fusce id urna blandit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis ut cursus. 感 謝 您 的 下 載 觀 看 專家告訴 。 23:17:0823:17:0823:17Wednesday, March 8, 2023 1知人者智，自知者明。 2023年 3月 8日星期三 下午 11時 17分 8秒 23:17: 1楚塞三湘接，荊門九派通。 2023年 3月 下午 11時 17分 :17March 8, 2023 1行動出成果，工作出財富。 113 靜夜四無鄰，荒居舊業(yè)貧。經(jīng)過幾年的發(fā)展，取得了一定的成績，但仍面臨巨大的考驗。安全管理主要基于以下原則： 許多安全威脅來自內(nèi)部人員，他們可能是無意間造成錯誤，也可能是內(nèi)外勾結(jié)蓄意破壞系統(tǒng)，竊取機密或敏感信息，造成重大的損失。加強行政管理工作，要求管理機構(gòu)要把以下幾點做到位，而不流于形式： 在實施過程中一定要注意， BS 7799里所描述的所有控制措施不可能適合企業(yè)內(nèi)的每一種情況。當組織通過了它們的認證，就相當于通過了 ISO 9000的質(zhì)量認證一般，表明組織信息安全管理已建立了一套科學有效的管理體系作為保障。 94 引入 BS 7799的好處 保證信息安全不是僅靠一些安全設(shè)備，或?qū)で笮畔踩?wù)公司幫助就可以達到，而是需要全面的綜合管理。 (5) 選擇控制目標與控制措施。在本階段，應將組織劃分成不同的信息安全控制領(lǐng)域，以易于組織對有不同需求的領(lǐng)域進行適當?shù)男畔踩芾怼? 在根據(jù)業(yè)務(wù)的性質(zhì)、組織結(jié)構(gòu)、資產(chǎn)和技術(shù)等確定信息安全體系的范圍之后，可按照 BS 77992建立信息安全管理體系，其步驟如圖 55所示。第一部分主要是給負責開發(fā)的人員作為參考文檔使用，從而在他們的機構(gòu)內(nèi)部實施和維護信息安全；第二部分詳細說明了建立、實施和維護 ISMS的要求，指出實施組織需要通過風險評估來鑒定最適宜的控制對象，并對自己的需求采取適當?shù)目刂啤！缎畔⑾到y(tǒng)安全管理要求》 (GB/T 20269— 2023) 2023 年通過的《聯(lián)邦信息安全管理法案》 (FISMA，The Federal Information Security Management Act)賦予 NIST制定標準和指南的職責。 在 SP 800系列中， SP 80012(1995年 1月 )和 SP 80014(1996年 9月 )這兩篇文獻是 SP 800 系列的基礎(chǔ)。SP 80014《信息技術(shù)系統(tǒng)安全的公認原則與實踐》 72 4. 美國相關(guān)標準 美國國家標準技術(shù)局 (NIST)制定了一系列的信息安全管理相關(guān)標準，如 SP 800系列、 FIPS系列等。 ISO/IEC 13335只是一個技術(shù)報告和指導性文件，屬于 TR(Technical Report)系列，即 ISO/IEC TR 13335，它是作為具體實踐時的參考，并不是可依據(jù)的認證標準，信息安全體系建設(shè)則需要參考 ISO/IEC 27001:2023和 ISO/IEC 27002:2023等。ISO/IEC 27002:2023《信息技術(shù) — 安全技術(shù) — 信息安全管理實用規(guī)則》； 63 總的來說， ISO/IEC 27001:2023是建立信息安全管理體系 (ISMS， Information Security Management System)的一套需求規(guī)范，其中詳細說明了建立、實施和維護信息安全管理體系的要求，其內(nèi)容非常全面，是一個真正基于風險的方法。 BS 77