与所有的管理流程,系统必须保持长期的有效性和效率,以适应内部和外部环境的变化。ISO/IEC 27001:2005,因此成立一个“计划执行-检查-行动”(PDCA)或戴明周期的方法:
销售计划阶段是isms的设计,信息安全风险评估,并选择合适的控制。
销售积压阶段包括控制的实施和操作。
在检查阶段目标是审查和评价系统的性能(效率)。
在行动阶段销售,改变ISMS回到峰值性能必要时。
ISO/IEC 27001:2005是基于风险的信息安全标准,这意味着公司需要有适当的风险管理过程。风险管理过程集成到PDCA模型。 然而,最新的标准,ISO / IEC 27001时间:2013,不强调戴明循环。ISMS用户可以自由地使用像PDCA或任何管理流程(改进)方法六西格玛DMAIC。 另一个竞争主义是信息安全IT运维管理社区的一个很好的实践标准(sOGP)。这是最好的实践为基础的,因为它来自ISF的行业经验。 一些最著名的ISMSs计算机安全认证的通用标准(CC)国际标准及其前身信息技术安全性评估准则(ITSEC)和可信计算机系统评估标准(TCSEC)。 一些国家的发布和使用他们自己的信息安全管理体系标准,如国防部(国防部)的信息技术安全认证认可在美国的过程(DITSCAP)的国防信息安全认证认可的美国工艺部(DIACAP),基线保护,德国日本、韩国等,信息安全检查服务(韩国ISCS)。 如COBIT和ITIL框架涉及的安全问题,但主要是面向建筑信息管理架构和更常见。COBIT有风险它致力于信息安全伙伴框架。下表提供了一些最知名的国际半导体制造科学研讨会认证结构的比较:
| | | | | | | | | - 6管理的阶段
- 11安全域
- 139控制目标
- 133安全控制 | | | | 1-定义政策
2-定义范围
3-评估风险
4-风险管理
5到实施选择的控制和应用
6-准备适用性声明 | 1 PP / ST介绍
2-一致性声明
的3-安全问题的定义,
4-安全目标
5-扩展组件定义 6安全性要求
7 TOE概要规范 | | | | | | | | | | | | | |
有许多举措侧重于保护信息系统的治理和组织问题,同时考虑到业务和组织问题,而不仅仅是一个技术问题: 2002联邦信息安全管理法是联邦法律在2002制定的承认信息安全的重要性,以经济和国家安全利益。的[ 4 ]法要求各联邦机构制定和实施机制,记录程序,支持机构提供信息安全的信息和信息系统的业务和资产,包括那些由其他机构提供的,承包商或管理,或其他来源。[ 4 ] [ 5 ] 基本控制企业安全实施指南[ 6 ]卡耐基- CERT梅隆大学软件工程研究所旨在帮助企业领导人实施信息技术的有效管理(IT)解决方案和信息安全。 一个系统安全工程能力成熟度模型(CMM)是基本符合ISO/IEC 21827标准。 信息安全管理成熟度模型(也被称为ISM或立方ISM3)是另一种形式主义。ISM3是建立在标准如ISO 20000,ISO 9001,CMM,ISO / IEC 27001,和一般信息治理和安全概念。ISM3可以作为ISO 9001管理模板。虽然ISO / IEC 27001是基于控制,ISM3是基于过程,包括过程度量。ISM3是安全管理标准(如何实现组织的任务,尽管错误,攻击事件与一个给定的预算)。ISM3和ISO / IEC 21827是ISM3集中管理的区别,ISO 21287工程。 对于一个需要主义[编辑 安全专家说:[ 7 ] 一个信息技术安全管理员应该被用来解决技术问题的1 / 3的时间。其余2 / 3应用于制定政策和程序,进行安全审查和风险分析,处理应急计划和提高安全意识; 基本安全取决于人而不是技术; 员工的信息安全威胁远远大于外人; 基本安全就像一个链条。它只有最薄弱的环节那么坚固; 基本安全取决于三个因素:你愿意承担风险的功能系统和你准备支付的费用; 基本安全不是状态或快照,而是运行过程。 这些事实必然导致安全管理是一个管理问题,而不是单纯的技术问题。[ 7 ] ISMS的建立、维护和持续更新提供一个强有力的迹象表明,一个公司使用的是一个系统的方法来识别、评估和管理信息安全风险。信息安全管理体系的关键因素: 忠告:绝不保密第三方保护信息授权。 一个完整的由未经授权的用户修改保护信息。 可用性:使授权用户可以使用信息。 一个公司将能够成功地解决信息的机密性,完整性和可用性(CIA)的要求,这反过来又影响: 销售和业务连续性; 尽量减少销售损失和损失; 基本竞争优势; 销售盈利能力和现金流; 组织方面的形象; 基本合法性 信息安全管理的主要目标是实现各种安全相关的影响,以消除或减少潜在的威胁和脆弱性的适当措施,以一个组织。在这样做时,信息安全管理将能够实现所需的质量特性的服务所提供的组织(即,可用性的服务,保存数据的保密性和完整性)。通过防范和减少安全事件的影响,确保企业信息安全管理体系的连续性、客户信任度、保护企业投资和机会,或减少对企业的危害。大型组织、银行和金融机构、电信运营商、医院和医疗机构以及公共或政府机构都有很多理由高度重视信息安全问题的解决。法律和法规的要求,旨在保护敏感或个人数据,以及一般的公共安全要求,迫使他们给予最大的重视和优先信息安全风险。在这种情况下,和独立的管理程序主义实现发展是唯一的选择。一个是基于ISO / IEC 27001:2005的发展需要以下六个步骤: 1安全政策的定义, 2.isms范围的界定, 3风险评估(作为风险管理的一部分), 4风险管理, 5适当选择控制 6申请表 ]关键成功因素 为了有效的管理必须:演讲者将继续有管理组织的最高水平,并明显不可动摇的支持和承诺; 全组织共同战略与政策为中心的集中管理;作为一个整体管理组织的一部分,风险管理和组织,控制目标和控制,并确保所需的相关性和反映程度;基本的安全目标和活动的基础上的业务目标和要求,由企业管理;演讲者只承担必要的任务,避免过度的控制,浪费宝贵的资源;一个组织要充分遵守思想和心态,提供制度,而不是阻止人们做自己的就业工作,这将让他们履行职责和绩效控制;销售人员培训和意识的纪律措施的基础上,避免使用“警察”或“军事”的方法;基本过程是一个没有尽头的世界; 各种动态问题[ 主要有三个方面的问题,导致信息安全管理系统的不确定性(ISMS): 组织变革的安全要求技术的迅速发展给组织带来了新的安全问题。现有的安全措施和要求是过时的,随着技术的发展出现新的漏洞。为了克服这个问题,ISMS应组织和管理不断变化的需求和保持系统更新。 外部性导致销售安全系统 外部性是指经济概念对当事人不直接参与交易的影响。外部性可以是积极的或消极的。在组织ISMS的部署也可能导致其他交互系统的外部性。造成的外部性是不确定的,是不能部署ISMS之前确定。因是外部性的内部化是有利于组织的内化和互动合作伙伴通过保护组织从弱势主义行为。 对过时安全问题的评估 随着科技的发展和新的威胁和漏洞的出现,用于管理安全问题的评价是过时的。需要对组织的产品、持续的安全评估服务,技术和方法是保持有效的ISMS的关键。安全问题评估需要重新评估。正在进行的安全评估机制主义组织内是实现信息安全目标的关键要求。评估的过程是动态的安全要求管理过程的论述,以上相关。
|