《信息安全管理体系讨论.docx》由会员分享,可在线阅读,更多相关《信息安全管理体系讨论.docx(3页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全管理体系讨论(中国标准导报杂志)2015年第四期1信息系统安全等级保护测评根据的标准GB/T284492012(信息安全技术信息系统安全等级保护测评经过指南)规定了信息系统安全等级保护测评工作的测评经过,既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价,也适用于信息系统的运营使用单位在信息系统定级工作完成之后,对信息系统的安全保护现状进行的测试评价,获取信息系统的全面保护需求。GB/T284482012(信息安全技术信息系统安全等级保护测评要求)针对信息系统中的单项安全措施和多个安全措施的综合防备,对应地提出单元测评和整体测评的技术要求,用
2、以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。GB/T222392008(信息安全技术信息系统安全等级保护基本要求)根据现有技术的发展水平,提出和规定了不同安全保护等级信息系统的最低保护要求,即基本安全要求,包括基本技术要求和基本管理要求,该标准适用于指导不同安全保护等级信息系统的安全建设和监督管理。2整合施行的思路2.1审核与测评的经过整合整合是为了在组织内部建立一套信息安全管理体系及制度,而且该制度既符合信息安全管理体系又符合信息系统安全等级保护的管理要求,并给组织带来收益,避免不必要的冲突和资源浪费。根据对审核和测评的经过分析得知审核从外表上执行了测评的管理内容,但从整个
3、审核和测评活动可得出,两者的活动内容和组织方式非常类似,因而具备很强的整合条件,两者的详细活动如表1所示。2.2审核与测评的控制措施整合整合GB/T222392008中的控制措施部分与GB/T220802008的附录A完全可行,且整合后可避免多余、重复的管理资源。如GB/T222392008三级信息系统对资产管理的要求和GB/T220802008中的“A.7资产管理基本保持了一致,详细标准条款映射如表2所示。若组织内存在等级保护三级或三级以上的信息系统,则该组织应建立信息安全管理制度体系,这与组织单独建立ISMS所到达的目的基本一样,从整合的角度来看,通过施行整合,能够获得“一箭双雕的效果。详细的整合检查表如表3所示。3结语信息系统安全等级保护测评和信息安全管理体系审核,都是为实现和强化信息安全管理,做到分清责任机构,确认安全制度,预防和应对可能发生或者已经发生的信息系统管理问题。因而随着信息化工作的不断发展,信息安全管理体系审核和信息系统安全等级保护测评必将走上一条能够融合的道路。