登录注册
请使用微信扫一扫
关注公众号完成登录
我要投稿
摘 要 信息安全管理体系作为组织对信息安全工作实施管理的有效方法之一,在信息安全领域获得了广泛的应用。本文从信息安全管理体系的特点出发,基于风险管理和持续改进的思想,从实践出发,提出了行之有效的实施方法,此外,本文还跟踪研究了信息安全管理体系的最新发展,介绍了信息安全管理体系在架构、内容等方面的重大变化,指出了这种变化对未来实施信息安全管理体系的影响。
1 引言
随着信息技术的发展逐渐涌现众多信息安全问题,例如病毒、漏洞、黑客、安全事件等,这些安全问题不断对信息系统造成影响,进而对组织,甚至国家安全产生影响。如何解决信息安全问题也成为大家关注的焦点,防病毒、防火墙、入侵检测等信息安全产品逐步在各组织得到了部署。众所周知,技术和管理是相辅相成的,信息安全并不仅是技术过程,而是一个综合防范的过程,信息安全管理是综合防范过程中的一个重要部分,在信息安全保障工作中必须管理与技术并重,进行综合防范,才能有效保障安全,这也是实现信息安全目标的必由之路。
信息安全管理体系(Information Security Management Systems, 简称ISMS)是管理体系方法在信息安全领域的运用,它可以从组织整体的角度来识别安全风险,通过采取相应的安全控制措施(既包括安全技术措施,也包括安全管理措施),达到综合防范、保障安全的目标。信息安全管理体系的概念已经跳出了传统的“为了安全而安全”的理解,它强调的是基于业务风险方法来组织信息安全活动,其本身是组织整个管理体系的一部分。
2 信息安全管理体系方法及应用
2.1 信息安全管理体系的风险管理思想
风险管理是信息安全管理体系建设中的关键。风险管理包括风险评估和风险处理两个阶段,风险评估是信息安全管理体系建设中提出信息安全要求的关键依据,风险处理是解决信息安全问题,采取控制措施的指导规范。
1)风险管理是信息安全的基础性工作
信息安全中的风险管理是传统风险理论和方法在信息安全领域的运用,是科学分析和理解信息资产在保密性、完整性、可用性等方面所面临风险,并针对重要风险作出接受、减缓、转移和规避等控制方法的过程。
风险评估将导出信息资产的安全保护需求,因此,信息安全建设应以风险评估为起点,以控制安全风险,减少安全事件发生为目标。只有在正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在信息安全投资、信息安全措施选择、信息安全保障体系建设等方面作出合理决策。持续的风险管理工作将成为检查信息安全工作绩效的有力手段,并为信息化项目的立项、投资、运行产生影响,促进组织信息化的进一步发展。
2)风险评估和处理在信息安全管理体系建设中的重要性
信息安全管理体系的建立需要首选确定信息安全需求,而信息安全风险评估获取信息安全需求的主要手段,因此,信息安全风险评估是信息安全管理体系建立的基础,没有风险评估,信息安全管理体系的建立就没有依据。而风险处理的过程则是信息安全管理体系实施与运行阶段的重要内容,残余风险的水平将直接影响体系的运行效果。
因此风险评估和风险处理是信息安全管理体系建设运行过程中最重要的活动之一,风险评估和风险处理所生成的两个文件:风险评估报告和风险处理计划,也是体系运行的重要证据之一。信息安全管理体系运行的效果很大程度上取决于风险管理方法的适宜性和有效性。
特别声明:北极星转载其他网站内容,出于传递更多信息而非盈利之目的,同时并不代表赞成其观点或证实其描述,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。
凡来源注明北极星*网的内容为北极星原创,转载需获授权。
3月26日,国网天津电科院以“查隐患、控风险、抓落实、保安全”为主线开展春季信息安全大检查,全面排查信息设备、信息系统、网络专线、科技产出系统等信息安全,保障企业网络设备安全稳定运行,提升公司整体网络安全防护水平。本次工作中,电科院以现场排查、梳理自查、专项督查等多种形式相结合,结
3月27日,国网光山县供电公司2名信息专业工作人员正在认真梳理公司信息网络设备地址,确保省市公司关于IP地址资源管理提升工作的相关要求落实落地落细,为企业网络安全、稳定、可靠、高效运行夯实基础。IP地址资源管理是网络安全和性能管理的关键组成部分,有效的IP地址管理可以帮助企业确保网络的可用
为进一步加强和规范网络信息安全管理,切实提升员工网络与信息安全的主观防护意识,今年以来,国能晋江热电公司从安全自查、公司排查和规范管理三方面行动,构筑网络信息安全防护墙。根据网络信息安全管理要求,该公司要求所有员工对所使用电脑进行自查,确保所有办公电脑全部安装集团360软件,提高安
2月7日,国网天津电科院开展春节前网络信息安全专项检查,筑牢节日期间信息网络安全防线,严防信息安全事故发生,多措并举确保信息网络安全运行可靠。电科院信息安全分管领导和科技管理部门负责人带队,有序组织信息专责及运维人员成立专项排查小组,结合信息设备和办公区域实际运行情况,分别前往东丽
为进一步推动网络信息安全建设,强化各级人员网络安全辨识能力,规范网络及终端安全办公,最近,盐城供电公司营销部组织员工进行网络信息安全专项培训,主要针对场所防护、终端防护以及互联网资产三方面进行宣贯学习,通过网络安全宣传教育专项工作,为公司网络信息安全筑起一道坚实的防线。盐城供电公
近日,广东燃料电池汽车示范应用城市群综合监管平台(简称“广东燃料电池汽车监管平台”)获得了国家公安部核准颁发的“信息系统安全等级保护二级备案证明”(简称“等保二级”)。据悉,国家等级保护认证是中国最权威的信息产品安全等级资格认证,认证由国家信息安全监管部门进行监督、检查,要求非常严
6月26日,国家能源局在京召开电力行业网络与信息安全联席会议全体会议,会议总结“十四五”以来电力网络安全工作,分析研判电力网络安全面临的形势和风险,部署“十四五”后半期和2023年电力网络安全重点工作。国家能源局党组成员、副局长余兵出席会议并讲话。会上,中央网信办、国家发展改革委、公安
国家能源局综合司关于调整电力行业网络与信息安全联席会议成员单位组成人员的通知国能综通安全〔2023〕69号电力行业网络与信息安全联席会议各成员单位:根据工作需要,决定对电力行业网络与信息安全联席会议成员单位组成人员进行调整。现将调整后的名单通知如下。召集人:余兵国家能源局党组成员、副局
北极星电力网获悉,国家能源局综合司发布关于调整电力行业网络与信息安全联席会议成员单位组成人员的通知,国能综通安全〔2023〕69号,详情如下:电力行业网络与信息安全联席会议各成员单位:根据工作需要,决定对电力行业网络与信息安全联席会议成员单位组成人员进行调整。现将调整后的名单通知如下。
10月11日,中电联党委书记、常务副理事长杨昆在中电联本部会见三六零安全科技股份有限公司(以下简称“360集团”)创始人、董事长兼CEO周鸿祎一行。双方就当前国内外信息安全形势和电力企业数字安全工作开展深入交流和探讨。杨昆在会谈中指出,多年来,电力行业高度重视信息化建设,持续开展信息化战略
国网安徽电力基于密码算法打造了自主可控、技术先进的密码中台——“统一密码服务平台”,提供数字证书、数据加解密、签名签章、轻量级认证等多种高质量密码服务,提高了密码服务的便捷性,推动密码技术更好地服务电力发展。统一密码服务平台已应用于电力移动作业、电力物联网、输变电运检、电力交易等
北京市经济和信息化局发布关于征集2024年符合环保装备制造业规范条件企业的通知,组织开展大气治理、污水治理、环境监测仪器、固废处理等环保装备制造业规范条件企业的申报工作。北京市经济和信息化局关于征集2024年符合环保装备制造业规范条件企业的通知各有关单位:为贯彻落实《环保装备制造业高质量
北京市经济和信息化局发布关于开展2024年工业节能诊断服务工作的通知,重点选择钢铁、石化、化工、建材、有色金属、轻工、机械、汽车、电子等行业和数据中心等信息基础设施,组织节能诊断服务机构为中小企业、工业园区,开展公益性节能诊断服务。北京市经济和信息化局关于开展2024年工业节能诊断服务工
河南省工业和信息化厅办公室发布关于培育建设绿色制造业产业链群的通知,计划加快绿色科技创新和先进绿色技术推广应用,健全绿色制造和绿色服务体系,因地制宜发展新质生产力,做强绿色制造业,培育一批绿色制造业产业链群,推动全省重点产业链高端化、智能化、绿色化发展。河南省工业和信息化厅办公室
海南省工业和信息化厅发布关于做好2024年省级绿色工厂推荐工作的通知,要求省级绿色工厂建设要坚持用地集约化、原料无害化、生产洁净化、废物资源化、能源低碳化,重点但不限于石化、建材、纺织、医药、食品、机械、电气、节能环保装备制造、新能源装备制造、资源综合利用等领域的生产型企业。海南省工
2月21日,中国电气装备召开2024年科技创新与信息化工作会议。会议传达了上级科技创新与信息化工作精神,全面总结集团公司2023年科技创新与信息化工作,部署2024年重点任务,部分子企业作交流发言。集团公司党委常委、副总经理张旭升出席会议并讲话。会议要求,面对当前国资央企科技创新与信息化工作的
2月20日,工业和信息化部办公厅发布关于组织开展2024年度工业节能监察工作的通知,依据行业强制性能耗限额标准以及能效标杆水平、基准水平,聚焦石化化工(炼化、氯碱、纯碱、电石、化肥、无机盐、无机酸和有机酸、橡胶、醇醚、异氰酸酯、合成树脂、涂料、煤化工)、钢铁(焦化)、有色金属(电解铝、
2月20日,工业和信息化部办公厅发布关于组织开展2024年度工业节能诊断服务工作的通知,重点选择钢铁、石化、化工、建材、有色金属、轻工、纺织、机械、汽车、电子等行业和数据中心等信息基础设施,由省级工业和信息化主管部门、中央企业集团组织节能诊断服务机构为中小企业、工业园区,开展公益性节能
工业和信息化部、教育部、科学技术部等十二部门近日印发《工业互联网标识解析体系“贯通”行动计划(2024—2026年)》,提出到2026年,我国建成自主可控的标识解析体系,在制造业及经济社会重点领域初步实现规模应用,对推动企业数字化转型、畅通产业链供应链、促进大中小企业和一二三产业融通发展的支
北极星固废网获悉,辽宁省生态环境厅发布关于进一步加强全省危险废物全过程可追溯信息化监管的通知,通过采取危险废物智能称重、二维码电子标签、电子台账、电子联单、转移轨迹实时上传、视频监控、手持终端等智能化物联网监管手段,逐步实现实时、动态、预警的全过程可追溯信息化非现场监管,提升全省
北极星储能网获悉,1月29日,工业和信息化部等七部门关于推动未来产业创新发展的实施意见。意见明确,加强前瞻谋划部署。把握全球科技创新和产业发展趋势,重点推进未来制造、未来信息、未来材料、未来能源、未来空间和未来健康六大方向产业发展。打造未来产业瞭望站,利用人工智能、先进计算等技术精
大连市工业和信息化局印发2024年度生态环境保护工作计划及措施清单,其中包含实施工业的节能、节水、资源综合利用和清洁生产促进政策、规划、标准,参与工业污染控制政策等共十项。
北极星电力网获悉,中国学位与研究生教育学会日前公布了《研究生教育学科专业简介及其学位基本要求》(试行版)。相较于上一版的研究生教育学科专业划分,电气工程二级学科由5个(电机与电器、电力系统及其自动化、高电压与绝缘技术、电力电子与电力传动、电工理论与新技术)增加为10个(电工理论与新
按照《工业和信息化部办公厅关于组织开展2023年新一代信息技术与制造业融合发展示范申报工作的通知》(工信厅信发函〔2023〕243号)要求,经企业自主申报、地方推荐、专家评审、网上公示等环节,确定了184个2023年新一代信息技术与制造业融合发展示范项目。
北极星电力软件网获悉,12月14日,工业和信息化部信息技术发展司发布关于2023年新一代信息技术与制造业融合发展示范名单的公示。原文如下:关于2023年新一代信息技术与制造业融合发展示范名单的公示根据《工业和信息化部办公厅关于组织开展2023年新一代信息技术与制造业融合发展示范申报工作的通知》(
北极星电力软件网获悉,12月11日,山东省工业和信息化厅发布关于公布山东省2023年新一代信息技术与制造业融合发展示范名单的通知。文件提出,原文如下:山东省工业和信息化厅关于公布山东省2023年新一代信息技术与制造业融合发展示范名单的通知鲁工信工联〔2023〕247号各市工业和信息化局,有关企业(
北极星电力软件网获悉,11月30日,南昌市人民政府发布关于印发南昌市制造业重点产业链现代化建设“8810”行动计划(2023-2026年)的通知。其中包括《南昌市电子信息产业链现代化建设行动方案(2023-2026年)》。文件明确,电子信息产业链。坚持以信息化带动工业化,推动软件和硬件协同发展,推进产业链
南网科技发布2023年前三季度报告,营业收入16.35亿元,同比增长47.79%。归属于上市公司股东的净利润1.6亿元,同比增长17.58%。归属于上市公司股东的扣除非经常性损益的净利润1.47亿元,同比增长9.86%。南网科技的主要业务为应用清洁能源技术和新一代信息技术,通过提供“技术服务+智能设备”的综合解决
北极星电力软件网获悉,10月24日,山东省发展和改革委员会发布关于印发《山东省生产性服务业百企升级引领三年行动方案(2023-2025年)》(以下简称《方案》)的通知。《方案》指出,2023年至2025年,每年遴选一批技术先进、模式创新、发展空间巨大的生产性服务业领军企业,通过动态管理、精准服务、全
9月26-27日,2023煤炭行业两化深度融合推进现场会暨“数字煤炭”建设发展论坛在淮南召开。会上,发布了《煤炭信息技术产业发展报告(2023)》(以下简称“《报告》”)。《报告》数据显示,2022年,煤炭信息技术产业呈持续高速发展态势,企业营业收入、利润总额和研发投入平均增幅继续保持了30%左右的
北极星电力软件网获悉,9月11日,工业和信息化部办公厅关于组织开展2023年新一代信息技术与制造业融合发展示范申报工作的通知。原文如下:工业和信息化部办公厅关于组织开展2023年新一代信息技术与制造业融合发展示范申报工作的通知工信厅信发函〔2023〕243号各省、自治区、直辖市、计划单列市及新疆生
工业和信息化部、财政部近日联合印发《电子信息制造业2023—2024年稳增长行动方案》,《行动方案》提出,2023—2024年计算机、通信和其他电子设备制造业增加值平均增速5%左右,电子信息制造业规模以上企业营业收入突破24万亿元。2024年,我国手机市场5G手机出货量占比超过85%,75英寸及以上彩色电视机
北极星电力软件网获悉,日前,芜湖市人民政府关于印发《芜湖市推进省域副中心城市建设实施方案》(以下简称《方案》)的通知。《方案》指出,加快产业集群培育。巩固优势产业领先地位,积极申报国家级新能源汽车、智能装备制造、智能家电(节能环保)战略性新兴产业集群。组织编制省重大新兴产业基地20
请使用微信扫一扫
关注公众号完成登录
姓名: | |
性别: | |
出生日期: | |
邮箱: | |
所在地区: | |
行业类别: | |
工作经验: | |
学历: | |
公司名称: | |
任职岗位: |
我们将会第一时间为您推送相关内容!