登录注册
请使用微信扫一扫
关注公众号完成登录
我要投稿
摘 要 信息安全管理体系作为组织对信息安全工作实施管理的有效方法之一,在信息安全领域获得了广泛的应用。本文从信息安全管理体系的特点出发,基于风险管理和持续改进的思想,从实践出发,提出了行之有效的实施方法,此外,本文还跟踪研究了信息安全管理体系的最新发展,介绍了信息安全管理体系在架构、内容等方面的重大变化,指出了这种变化对未来实施信息安全管理体系的影响。
1 引言
随着信息技术的发展逐渐涌现众多信息安全问题,例如病毒、漏洞、黑客、安全事件等,这些安全问题不断对信息系统造成影响,进而对组织,甚至国家安全产生影响。如何解决信息安全问题也成为大家关注的焦点,防病毒、防火墙、入侵检测等信息安全产品逐步在各组织得到了部署。众所周知,技术和管理是相辅相成的,信息安全并不仅是技术过程,而是一个综合防范的过程,信息安全管理是综合防范过程中的一个重要部分,在信息安全保障工作中必须管理与技术并重,进行综合防范,才能有效保障安全,这也是实现信息安全目标的必由之路。
信息安全管理体系(Information Security Management Systems, 简称ISMS)是管理体系方法在信息安全领域的运用,它可以从组织整体的角度来识别安全风险,通过采取相应的安全控制措施(既包括安全技术措施,也包括安全管理措施),达到综合防范、保障安全的目标。信息安全管理体系的概念已经跳出了传统的“为了安全而安全”的理解,它强调的是基于业务风险方法来组织信息安全活动,其本身是组织整个管理体系的一部分。
2 信息安全管理体系方法及应用
2.1 信息安全管理体系的风险管理思想
风险管理是信息安全管理体系建设中的关键。风险管理包括风险评估和风险处理两个阶段,风险评估是信息安全管理体系建设中提出信息安全要求的关键依据,风险处理是解决信息安全问题,采取控制措施的指导规范。
1)风险管理是信息安全的基础性工作
信息安全中的风险管理是传统风险理论和方法在信息安全领域的运用,是科学分析和理解信息资产在保密性、完整性、可用性等方面所面临风险,并针对重要风险作出接受、减缓、转移和规避等控制方法的过程。
风险评估将导出信息资产的安全保护需求,因此,信息安全建设应以风险评估为起点,以控制安全风险,减少安全事件发生为目标。只有在正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在信息安全投资、信息安全措施选择、信息安全保障体系建设等方面作出合理决策。持续的风险管理工作将成为检查信息安全工作绩效的有力手段,并为信息化项目的立项、投资、运行产生影响,促进组织信息化的进一步发展。
2)风险评估和处理在信息安全管理体系建设中的重要性
信息安全管理体系的建立需要首选确定信息安全需求,而信息安全风险评估获取信息安全需求的主要手段,因此,信息安全风险评估是信息安全管理体系建立的基础,没有风险评估,信息安全管理体系的建立就没有依据。而风险处理的过程则是信息安全管理体系实施与运行阶段的重要内容,残余风险的水平将直接影响体系的运行效果。
因此风险评估和风险处理是信息安全管理体系建设运行过程中最重要的活动之一,风险评估和风险处理所生成的两个文件:风险评估报告和风险处理计划,也是体系运行的重要证据之一。信息安全管理体系运行的效果很大程度上取决于风险管理方法的适宜性和有效性。
特别声明:北极星转载其他网站内容,出于传递更多信息而非盈利之目的,同时并不代表赞成其观点或证实其描述,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。
凡来源注明北极星*网的内容为北极星原创,转载需获授权。
最近,江苏省国家保密局发布2024年“贯彻落实保密法,你我都是护密人”主题征文活动获奖表彰名单。国网江苏省电力有限公司获优秀组织奖,是唯一获此荣誉的驻苏央企,该公司另有8部作品获奖,数量位居全省第一,这一成绩不仅是对过往保密工作的高度认可,更是激励我们持续奋进的强大动力。在数字化飞速
2024年12月13日,海尔新能源通过信息安全管理体系ISO/IEC27001:2022认证,并获得由BSI机构出具的认证证书。ISO/IEC27001作为国际信息安全管理体系标准,该认证的通过证明企业信息安全方面的专业性和承诺,能够持续稳定地向用户提供满意的合格产品及服务,致力于实现高标准和持续引领。基于此标准,海
9月19日获悉,国家电网有限公司信息通信分公司牵头,与国家电网有限公司客户服务中心、国网信通产业集团北京中电普华信息技术有限公司等单位完成了“网上国网”系统数据库的优化升级,实现了公司关键业务系统的国产化数据库替换和系统数据全面上云。“网上国网”系统是公司官方统一线上服务门户,目前
近日,高特电子CEO徐剑虹与FractalEMSCEODanielCrotzer于美国加利福尼亚正式签署《战略合作备忘录》,并宣布双方已成功联合开发出具备信息安全保障的美国版BMS。该备忘录的签署不仅是对全球能源转型浪潮的积极响应,更是双方携手构筑信息安全防线的深刻承诺。《战略合作备忘录》明确了双方基于平等互利
集团公司对网络安全工作的高度重视,按照集团公司、新疆公司网络安全专题会议要求,华电昌吉分公司积极响应,通过重点时期、重要时段的演练进一步提升公司的网络安全防护能力,确保电力生产及信息系统的平稳运行。为全面做好网络重要时段保障工作,昌吉分公司超前谋划,重点部署,迅速成立了网络安全专
为切实提升网络信息安全防护技能,全力做好集团公司网络安全攻防实战演练防守工作,5月15日,国能龙岩发电公司加强组织领导,从提高思想意识着手,严格遵守演练注意事项,做好应急管理等措施,不断强化网络信息安全。该公司要求全员切实提高政治站位,加强组织领导,按照谁主管谁负责,谁运营谁负贵,
4月26日,国网天津电科院开展防消相结合的机房消防应急演练,进一步提高机房安全管理水平,增强员工消防安全意识,提升应对突发事件和应急处置能力。演练前,电科院制定了详细的演练方案,并对参与演练的运维人员进行了包括火灾预防措施、应急疏散程序以及灭火器材的正确使用方法等消防安全知识的培训
3月26日,国网天津电科院以“查隐患、控风险、抓落实、保安全”为主线开展春季信息安全大检查,全面排查信息设备、信息系统、网络专线、科技产出系统等信息安全,保障企业网络设备安全稳定运行,提升公司整体网络安全防护水平。本次工作中,电科院以现场排查、梳理自查、专项督查等多种形式相结合,结
3月27日,国网光山县供电公司2名信息专业工作人员正在认真梳理公司信息网络设备地址,确保省市公司关于IP地址资源管理提升工作的相关要求落实落地落细,为企业网络安全、稳定、可靠、高效运行夯实基础。IP地址资源管理是网络安全和性能管理的关键组成部分,有效的IP地址管理可以帮助企业确保网络的可用
为进一步加强和规范网络信息安全管理,切实提升员工网络与信息安全的主观防护意识,今年以来,国能晋江热电公司从安全自查、公司排查和规范管理三方面行动,构筑网络信息安全防护墙。根据网络信息安全管理要求,该公司要求所有员工对所使用电脑进行自查,确保所有办公电脑全部安装集团360软件,提高安
2月7日,国网天津电科院开展春节前网络信息安全专项检查,筑牢节日期间信息网络安全防线,严防信息安全事故发生,多措并举确保信息网络安全运行可靠。电科院信息安全分管领导和科技管理部门负责人带队,有序组织信息专责及运维人员成立专项排查小组,结合信息设备和办公区域实际运行情况,分别前往东丽
2月28日,四川组织申报工业和信息化部算力强基揭榜行动项目。详情如下:关于组织申报工业和信息化部算力强基揭榜行动项目的通知各市(州)经济和信息化局、大数据产业主管部门,有关单位:根据《工业和信息化部办公厅关于组织开展算力强基揭榜行动的通知》(工信厅通信函〔2025〕55号)要求,为夯实算
2025年2月28日下午,中央组织部有关负责同志出席工业和信息化部领导干部会议,宣布中央决定:李乐成同志任工业和信息化部党组书记,免去金壮龙同志的工业和信息化部党组书记职务。
北极星售电网获悉,2月14日,吉林省工业和信息化厅发布关于组织开展2025年度省级绿色制造名单推荐工作的通知。文件明确申报要求包括:绿色工业园区。组织本地区工业基础好、基础设施完善、绿色制造水平高的工业园区进行申报,依据《绿色工业园区评价要求》进行评价,推荐的绿色工业园区应是以产品制造
北极星碳管家网获悉,工业和信息化部发布《铜产业高质量发展实施方案(2025—2027年)》,推动铜冶炼发展由产能规模扩张向质量效益提升转变,严格落实产业、环保、能效、安全等相关政策要求,新改扩建铜冶炼项目应对照《工业重点领域能效标杆水平和基准水平(2023年版)》标杆水平实施,鼓励新改扩建铜冶
北极星电力网获悉,长源电力公告称,2月6日,公司收到招标代理机构国家能源集团国际工程咨询有限公司发出的《中标通知书》(国际工程中[2025]01038号),确定国能信控技术股份有限公司(以下简称国能信控)为公司全资子公司国能长源汉川发电有限公司(以下简称汉川公司)长源电力汉川公司四期2×1000MW
近日,《山东省生态环境厅关于进一步加强固体废物环境管理信息化工作的通知》(以下简称《通知》)正式印发。《通知》主要包括强化危险废物信息化环境管理、推进一般工业固体废物信息化环境管理、有效防控化解固体废物环境风险、开展工业固体废物网上交易试点、统一使用省级平台开展工作、支撑业务工作
浙江省经济和信息化厅公布了2024年浙江省未来工厂、智能工厂和数字化车间名单。根据《关于开展2024年浙江省未来工厂和智能工厂、数字化车间评定工作的通知》要求,经企业自主申报、地方审核推荐、专家评审和网上公示,确定众望布艺装饰面料未来工厂等21个工厂为浙江省未来工厂、重汽杭发发动机智能工厂
根据产业发展和行业管理需要,有关单位提出了工业和信息化部物联网标准化技术委员会的组建方案。为进一步听取社会各界意见,现将有关委员名单予以公示,截止日期是2025年1月24日。第一届工业和信息化部物联网标准化技术委员会委员名单
近日,工业和信息化部发布《新能源汽车废旧动力电池综合利用行业规范条件(2024年本)》。公告如下:中华人民共和国工业和信息化部公告2024年第42号为加强新能源汽车废旧动力电池综合利用行业管理,提高废旧动力电池综合利用水平,我部对《新能源汽车废旧动力蓄电池综合利用行业规范条件(2019年本)》
北极星固废网获悉,山东省生态环境厅发布《关于进一步加强固体废物环境管理信息化工作的通知(征求意见稿)》的通知,要求各市应于2025年1月31日前,在“无废山东”智慧管理平台(以下简称平台)录入本市“无废城市”建设实施方案、建设指标等基础数据。每季度首月15日前,填报上季度“无废城市”建设
河北省工业和信息化厅公布生态环境保护责任清单,涵盖工业节能、绿色制造、产能控制、新能源汽车推广及环保装备发展等六大方面。河北省工业和信息化厅生态环境保护责任清单按照省生态环境厅、省发展改革委等17部门《关于印发〈推动职能部门做好生态环境保护工作的实施意见〉的通知》要求,依据我厅“三
2月14日,据国网信通官微消息,2月13日,为进一步深化合作,国网信息通信股份有限公司(简称“国网信通”)与科大国盾量子技术股份有限公司(简称“国盾量子”)签署合作协议。2月13日,为进一步深化合作,国网信息通信股份有限公司与科大国盾量子技术股份有限公司在国网信通产业集团西南产业基地签署
12月16日,宁德市工信局关于2024年省级新一代信息技术与制造业融合发展项目拟奖励企业名单的公示。工业数据安全标杆企业分别是宁德新能源科技有限公司、时代一汽动力电池有限公司、宁德时代新能源科技股份有限公司。原文如下:关于2024年省级新一代信息技术与制造业融合发展项目拟奖励企业名单的公示根
近日,龙源电力工程技术公司顺利通过ITSS(信息技术服务标准)认证,取得信息技术服务三级资质,标志着该公司在信息技术服务领域具备了较高的专业水平和规范的管理能力,进一步增强了市场竞争力。ITSS资质是我国信息技术服务行业最具权威性和影响力的标准之一,涵盖了信息技术服务的全生命周期,包括规
北极星储能网获悉,9月18日,内蒙古自治区工业和信息化厅发布对自治区政协十三届二次会议第0412号提案的答复。文件明确,强化协同创新。推进能源生产和消费革命,推动电子信息技术与新能源需求融合创新,打造“智能光伏、新型储能、终端应用、信息技术”协调发展的能源电子产业集群。原文如下:对自治
北极星储能网获悉,8月16日,北京市东城区人民政府印发《东城区加快硅巷高质量建设行动计划(2024—2026年)》。文件指出,做强两个特色优势产业。数字文娱:以数字赋能文化消费创新发展为主线,加大数字化文娱产品和服务创新,促进“文化+科技”深度融合发展;数智能源:支持能源技术与新一代信息技术
2024年7月11日,工业和信息化部信息技术发展司在江西省南昌市召开制造业数字化转型推进工作会。会议介绍了以图谱化、场景化推动制造业数字化转型的总体工作考虑,并就两化融合公共服务平台、钢铁产业链“一图四清单”工作开展情况,以及标准助力制造业数字化转型发展建设情况进行了报告,江西、河北地
6月13日,2024年粤港澳软件产业高质量发展大会、第十二届粤港云计算大会暨第七届粤港澳ICT大会在广州举办,大会发布了《2024广东软件风云榜》,远光资金分析调控平台Cashinsight凭借卓越的技术创新实力以及创新推广应用的显著成效,获评“优秀信息技术应用创新产品”。远光资金分析调控平台Cashinsight
4月7日,陕西省发展和改革委员会印发《陕西省培育千亿级化工材料产业创新集群行动计划》,其中提到,加强源头减碳、过程减碳、终端固碳,创建10个以上示范性绿色化工园区、绿色工厂,开展绿色化工产品认证,推进化工材料产业绿色制造体系不断完善。二是提升产业数字化智能化水平。并且,加快5G、大数据
北极星电力网获悉,中国学位与研究生教育学会日前公布了《研究生教育学科专业简介及其学位基本要求》(试行版)。相较于上一版的研究生教育学科专业划分,电气工程二级学科由5个(电机与电器、电力系统及其自动化、高电压与绝缘技术、电力电子与电力传动、电工理论与新技术)增加为10个(电工理论与新
按照《工业和信息化部办公厅关于组织开展2023年新一代信息技术与制造业融合发展示范申报工作的通知》(工信厅信发函〔2023〕243号)要求,经企业自主申报、地方推荐、专家评审、网上公示等环节,确定了184个2023年新一代信息技术与制造业融合发展示范项目。
北极星电力软件网获悉,12月14日,工业和信息化部信息技术发展司发布关于2023年新一代信息技术与制造业融合发展示范名单的公示。原文如下:关于2023年新一代信息技术与制造业融合发展示范名单的公示根据《工业和信息化部办公厅关于组织开展2023年新一代信息技术与制造业融合发展示范申报工作的通知》(
请使用微信扫一扫
关注公众号完成登录
姓名: | |
性别: | |
出生日期: | |
邮箱: | |
所在地区: | |
行业类别: | |
工作经验: | |
学历: | |
公司名称: | |
任职岗位: |
我们将会第一时间为您推送相关内容!