ISO27001的五大安全治理規範
編輯:  日期:2017-04-20 人氣:1156 [關閉]

一、經濟合作和發展組織,《信息係統安全指南》(1992)
  《信息係統安全指南》用於協助國家和企業構建信息係統安全框架。美國、OECD的其他23個成員國,以 及十幾個非OECD成員國家都批準了這一指南。該指南旨在提高信息係統風險意識和安全措施,提供一個一般性的框架以輔助信息係統 安全度量方法、操作流程和實踐的製定和實施,鼓勵關心信息係統安全的公共和私有部門間的合作,促進人們對信息係統的信心,促 進人們應用和使用信息係統,方便國家間和國際間信息係統的開發、使用和安全防護。這個框架包括法律、行動準則、技術評估、管 理和用戶實踐,及公眾教育或宣傳。該指南目的是作為政府、公眾和私有部門的標杆,通過此標杆測量進展。
二、國際會計師聯合會,《信息安全管理》(1998)
   信息安全目標是“保護依靠信息 、信息係統和傳送信息的人、通信設施的利益不因為信息機密性、完整性和可用性的故障而遭受損失”。任何組織在滿足三條準 則時可認為達到信息安全目標:數據和信息隻透露給有權知道該數據和信息的人(機密性);數據和信息保護不受未經授權的修改(完 整性);信息係統在需要時可用和有用(可用性)。機密性、完整性和可用性之間的相對優先級和重要性根據信息係統中的信息和使用 信息的商業環境而不同。 信息安全因急速增長的事故和風險種類而日益重要。對信息係統的威脅既有可能來自有意或無意的行動,也 可能來自內部或外部。信息安全事故的發生可能是因為技術方麵的因素、自然災害、環境方麵、人的因素、非法訪問或病毒。另外, 業務依賴性(依靠第三方通信設施傳送信息,外包業務等等)也可能潛在地導致管理控製的失效和監督不力。
三、國際標準化組織,《ISO 17799國際標準》(最新版是2005)
    ISO17799(根據BS 7799第一部分製定)作為確定控製範圍的單一參考點, 在大多數情況下,這些控製是使用業務信息係統所必須的。該標準適應任何規模的組織。它把信息作為一種資產,像其他重要商業資 產一樣,這種資產對組織有價值,因此需要恰當保護它。ISO 17799認為信息安全有下列特征:機密性,確保信息隻被相應的授權用戶 訪問;完整性,保護信息和處理信息程序的準確性和完整性;可用性,確保授權用戶在需要時能夠訪問信息和相關資產。信息安全保護 信息不受廣泛威脅的損毀,確保業務連續性,將商業損失降至最小,使投資收益最大並抓住各種商業機遇。安全是通過實施一套恰當 的控製措施實現的。該控製措施由策略、實踐、程序、組織結構和軟件組成。  
四、信息係統審計和控製 協會,《信息和相關技術的控製目標》(CoBIT)
   CoBIT起源於IT需要傳遞組織為達到業務目標所需 的信息這個前提,至今已有三個版本。除了鼓勵以業務流程為中心,實行業務流程負責製外,CoBIT還考慮到組織對信用、質量和安全 的需要,它提供了組織用於定義其對IT業務要求的幾條信息準則:效率、效果、可用性、完整性、機密性、可靠性和一致性。CoBIT進 一步把IT分成4個領域(計劃和組織,獲取和實施,交付和支持,監控),共計34個IT業務流程。CoBIT為正在尋求控製實施最佳實踐 的管理者和IT實施人員提供了超過300個詳細的控製目標,以及建立在這些目標上的廣泛的行動指南。COBIT框架通過聯結業務風險、 控製需要和技術手段來幫助滿足管理當局多樣化的需求。它提供了通過一個範圍和過程框架的最佳慣例,以形成一個可控和邏輯結構 內的活動。
五、美國注冊會計師協會(加拿大特許會計師協會),《SysTrust TM係統可靠性原理和準則 V20》(2001)
   SysTrust服務是一種保證服務,用於增強管理者、客戶和商業夥伴對支持業務或某 種特別活動的係統的信任。SysTrust服務授權注冊會計師承擔的保證服務包括:注冊會計師從可用性、安全性、完整性和可維護性四個 基本方麵評估和測試係統是否可靠。
   SysTrust定義在特定環境下及特定時期內,沒有重大錯誤、缺 陷或故障地運行的係統為可靠係統。係統界限由係統所有者確定,但必須包括基礎設施、軟件、人、程序和數據這幾個關鍵部分。 SysTrust的框架可升級,企業能夠靈活選擇SysTrust標準的任何部分或全部來驗證係統的可靠性。對係統四個標準的判斷組成對係統 整體可靠性的判斷。注冊會計師也能單獨判斷某一標準如可用性或安全性的可靠性狀況。但是這種判斷僅僅對特定標準的可靠性做出 判斷,不是對係統整體可靠性的判斷。

貴州ISO9001質量體係認證

自貢CCC認證

德陽ISO14001環境體係認證

眉山強製性產品認證

樂山ISO27001信息體係認證

成都M88体育管理有限公司-專業體係認證谘詢

聯係人:周老師 聯係電話: 18980962772



上一篇:
沒有了!
下一篇:
建立ISO27001信息安全管理體係應對公司麵對的信息安全風險

欄目分類導航