freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

計算機信息安全管理標準(編輯修改稿)

2024-11-22 04:54 本頁面
 

【文章內(nèi)容簡介】 管部門以及各行各業(yè)已經(jīng)認識到了信息安全的重要性。 2002年4月,我國成立了“全國信息安全標準化技術(shù)委員會(TC260)”, 該標委會是在信息安全的專業(yè)領(lǐng)域內(nèi),從事信息安全標準化工作的技術(shù)工作組織。 信息安全標委會設(shè)置了10個工作組,其中信息安全管理(含工程與開 發(fā))工作組(WG7)負責對信息安全的行政、技術(shù)、人員等管理提出規(guī)范要求及指 導指南,它包括信息安全管理指南、信息安全管理實施規(guī)范、人員培訓教育及錄用 要求、信息安全社會化服務管理規(guī)范、信息安全保險業(yè)務規(guī)范框架和安全策略要求 與指南。,1 國外信息安全管理標準,1.2 ISO/IEC 13335 ISO/IEC 13335《信息技術(shù) 信息技術(shù)安全管理指南》 (Information Technology Guidelines for the management of IT Security (GMITS)) 是一個關(guān)于 IT 安全管理的指南,這個標準的主要目的就是要給出如何有效地實施IT安全管理的建議和指南。它提出了以風險為核心的安全模型,闡述了信息安全評估的思路,對信息安全評估工作具有指導意義。,1 國外信息安全管理標準,1.2.1 ISO/IEC 13335標準的內(nèi)容 ISO/IEC 13335標準由5部分組成。 ISO/IEC 133351:信息技術(shù)安全概念和模型(Concepts and Models of IT Security)。 ISO/IEC 133352:管理和計劃信息技術(shù)安全(Managing and Planning IT Security)。 ISO/IEC 133353:信息技術(shù)管理技術(shù)(Techniques for the Management of IT Security)。 ISO/IEC 133354:防護措施的選擇(Selection of Safeguards)。 ISO/IEC 133355:網(wǎng)絡(luò)安全管理指南(Management Guidance on Network Security)。,1 國外信息安全管理標準,1.2.2 ISO/IEC 13335不同的信息安全概念 1.保密性使 信息不泄露給未授權(quán)的個人、實體、過程或不使信息為其利用的特性。 2.完整性 包含數(shù)據(jù)完整性的內(nèi)涵,即保證數(shù)據(jù)不被非法地改動和銷毀;同樣還包含系統(tǒng)完整性的內(nèi)涵,即保證系統(tǒng)以無害的方式按照預定的功能運行,不受有意的或者意外的非法操作所破壞。 3.可用性 保證授權(quán)實體在需要時可以正常地訪問和使用系統(tǒng)。 4.可核查性 確保一個實體的訪問動作可以被唯一的區(qū)別、跟蹤和記錄。 5.真實性 確認和識別一個主體或資源就是其所聲稱的,被認證的可以是用戶、進程、系統(tǒng)和信息等。 6.可靠性 保證預期的行為和結(jié)果的一致性。,1 國外信息安全管理標準,,1.2.3 ISO/IEC 13335獨特的安全要素 1. 資產(chǎn)Asset是對組織具有價值的信息或資源。 2.威脅Threat是可能對資產(chǎn)造成損害的潛在原因。 3.脆弱性Vulnerability)(也稱為漏洞)是可能被威脅利用,對資產(chǎn)造成損害的薄弱環(huán)節(jié)。 4.影響Impact)是故意或意外引起的、影響資產(chǎn)的不希望事故的后果。 5.風險Risk)是某種威脅利用脆弱性直接或間接引起組織資產(chǎn)丟失或損壞的可能性。 6.防護措施Safeguards)是我們?yōu)榱私档惋L險所采用的解決辦法。 7.殘留風險Residual Risk):采取了安全措施后,仍然可能存在的風險。 8.約束Constraints)是一些組織實施安全管理時不得不受到環(huán)境的影,1 國外信息安全管理標準,1.2.4 ISO/IEC 13335 IT安全管理 IT安全管理包括如下活動: 1.制定IT安全策略。 2.標識在組織中的角色和職責。 3.風險管理,包括如下內(nèi)容的標識和評估:受保護的資產(chǎn)、威脅、脆弱性、影響、風險、防護措施、殘留風險、約束。 4.配置管理。 5.變更管理。 6.應急計劃和災難恢復計劃。 7.防護措施的選擇和實施。 8.安全意識。 9.還包括:維護、安全審核、監(jiān)督、評審、事故處理。,1 國外信息安全管理標準,1.2.5 風險管理關(guān)系模型 對上面的一些安全管理要素,ISO/IEC 13335給出了一個與風險管理有關(guān)的安全要素之間的關(guān)系模型,如圖23所示。,1 國外信息安全管理標準,從圖23中可以看出,威脅對脆弱性加以利用,暴露了具有價值的資產(chǎn),從而造成負面影響,由此導致風險。 正是由于風險的存在,我們才提出了防護需求;為了實現(xiàn)需求,必須采取防護措施,以便防范威脅并減少風險。風險管理的整個過程就是在這些要素間相互制約相互作用的關(guān)系中得以發(fā)展。,1 國外信息安全管理標準,1.2.6 ISO/IEC 13335在BS7799基礎(chǔ)上的改進 ISO/IEC 13335和BS 7799(ISO/IEC 17799)比較起來對安全管理的過程描述得更加細致,而且有多種角度的模型和闡述。ISO/IEC 13335有幾個方面比較突出: 1.對安全的概念和模型的描述非常獨特,具有很大的借鑒意義。 2.對安全管理過程的描述非常細致,而且完全可操作。 3.對安全管理過程中的最關(guān)鍵環(huán)節(jié)——風險分析和管理有非常細致的描述。 4.在標準的第四部分,有比較完整的針對6種安全需求的防護措施的介紹。 5.這個標準是一個開發(fā)的標準,標準還在不斷的增加和
點擊復制文檔內(nèi)容
環(huán)評公示相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1