1.等級(jí)保護(hù)
1)主要內(nèi)容
等級(jí)保護(hù)是指導(dǎo)我國(guó)信息安全保障體系總體建設(shè)的基礎(chǔ)管理原則,是圍繞信息安全保障全過(guò)程的一項(xiàng)基礎(chǔ)性管理制度,其核心內(nèi)容是對(duì)信息安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。
2)優(yōu)點(diǎn)
等級(jí)保護(hù)適用于宏觀層面,是一種大范圍“基線安全”,適用于行業(yè)主管部門對(duì)信息安全的總體把握與監(jiān)控。
3)缺點(diǎn)
具體到某個(gè)組織的信息安全保護(hù)而言,等級(jí)保護(hù)的粒度劃分較粗,在滿足組織對(duì)信息安全的精細(xì)控制要求方面還存在不足。因此,在滿足監(jiān)管部門的等級(jí)保護(hù)要求之后,組織還可進(jìn)一步把等級(jí)細(xì)化到各種層次的安全域,直至對(duì)一個(gè)個(gè)的信息資產(chǎn)進(jìn)行有效管理。
2.信息安全管理體系(ISMS)
1)主要內(nèi)容
類似于質(zhì)量之于ISO9000,ISMS是組織為提高信息安全管理水平,按照ISO27001的要求,在整體或特定范圍內(nèi)監(jiān)理的信息安全方針和目標(biāo),以及完成這些目標(biāo)所用的方法和體系。它是直接管理活動(dòng)的結(jié)果,表示為方針、原則、目標(biāo)、方法、計(jì)劃、活動(dòng)、程序、過(guò)程和資源的集合。
2)優(yōu)點(diǎn)
ISMS涉及了信息安全的11個(gè)領(lǐng)域,133個(gè)控制措施,基本涵蓋了信息安全的方方面面,適用于各種類型的組織用來(lái)建立一個(gè)總體的安全控制框架;ISMS更注重于把“安全管理”當(dāng)作一種制度來(lái)建設(shè),通過(guò)建立統(tǒng)一的方針、策略,以及規(guī)范化安全規(guī)則,使ISMS實(shí)施主體能有效地識(shí)別風(fēng)險(xiǎn),持續(xù)不斷地采取管控措施,以把風(fēng)險(xiǎn)降低到組織可接受的程度。
3)缺點(diǎn)
它只是描述了建立ISMS的思想、框架,但對(duì)如何建立ISMS并沒(méi)有一個(gè)詳細(xì)明確的定義,也沒(méi)有描述ISMS的最終形態(tài);沒(méi)有確定建立信息安全體系的具體方法與技術(shù)。因此,ISMS對(duì)實(shí)施者來(lái)說(shuō)留下來(lái)很大的可操作空間,不同的組織和不同實(shí)施著對(duì)ISMS標(biāo)準(zhǔn)的把握可能差別很大,ISMS總體水平也會(huì)有高下之分。
3.風(fēng)險(xiǎn)評(píng)估
1)主要內(nèi)容
風(fēng)險(xiǎn)評(píng)估是獲知組織當(dāng)前風(fēng)險(xiǎn)水平的一種手段,在金融、電子商務(wù)等許多領(lǐng)域都是有風(fēng)險(xiǎn)及風(fēng)險(xiǎn)評(píng)估需求的存在。當(dāng)風(fēng)險(xiǎn)評(píng)估應(yīng)用于IT安全領(lǐng)域時(shí),就是對(duì)信息安全的風(fēng)險(xiǎn)評(píng)估。
2)優(yōu)點(diǎn)
風(fēng)險(xiǎn)評(píng)估從早起簡(jiǎn)單的漏洞掃描、人工審計(jì)、滲透性測(cè)試這種類型的純技術(shù)操作,逐漸過(guò)渡到目前普遍采用ISO17799、OCTAVE、NIST SP800、NIST P800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法,充分體現(xiàn)以資產(chǎn)為出發(fā)點(diǎn)、以威脅為觸發(fā)、以技術(shù)/管理/運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險(xiǎn)評(píng)估綜合方法及操作模型。
國(guó)內(nèi)這幾年對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的研究進(jìn)展較快,具體的評(píng)估方法也在不斷改進(jìn)。原國(guó)信辦2004年組織完成了《信息安全風(fēng)險(xiǎn)評(píng)估指南》及《信息安全風(fēng)險(xiǎn)管理指南》標(biāo)準(zhǔn)草案的制定,并在其中規(guī)定了信息安全風(fēng)險(xiǎn)評(píng)估的工作流程、評(píng)估內(nèi)容、評(píng)估方法和風(fēng)險(xiǎn)判斷準(zhǔn)測(cè),對(duì)規(guī)范我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估的做法具有很好的指導(dǎo)意義。
3)缺點(diǎn)
《信息安全風(fēng)險(xiǎn)評(píng)估指南》所確定的風(fēng)險(xiǎn)評(píng)估方法還只是一個(gè)通用的方法論,具體到一個(gè)特定的單位,要對(duì)其中的風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確地識(shí)別與量化仍熱是一件困難的事情,在很大程度上要取決于評(píng)估者的經(jīng)驗(yàn)。
另一方面,《信息安全風(fēng)險(xiǎn)評(píng)估指南》主要是對(duì)所識(shí)別的一個(gè)個(gè)靜態(tài)資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估,涉及IT治理、IT管理流程、IT運(yùn)維、IT審計(jì)、IT價(jià)值實(shí)現(xiàn)等方面的風(fēng)險(xiǎn),并不能完全套用以上信息資產(chǎn)的風(fēng)險(xiǎn)評(píng)估方法,由于這類風(fēng)險(xiǎn)涉及組織的核心業(yè)務(wù),組織對(duì)此更加關(guān)心,因此,在實(shí)施信息安全過(guò)程中,準(zhǔn)確地識(shí)別其中的風(fēng)險(xiǎn)并能加以控制,對(duì)組織具有重要意義。
通過(guò)以上比較,我們認(rèn)為這3中方法都是實(shí)現(xiàn)信息安全的有效手段,但各有不同的側(cè)重點(diǎn),要真正實(shí)現(xiàn)信息安全要把這3者結(jié)合起來(lái),并進(jìn)行相應(yīng)的擴(kuò)展,探索出一條適合中國(guó)特色的信息安全保障之路。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:3種信息安全保障方法的比較
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839512582.html