登录注册
请使用微信扫一扫
关注公众号完成登录
我要投稿
摘 要 信息安全管理体系作为组织对信息安全工作实施管理的有效方法之一,在信息安全领域获得了广泛的应用。本文从信息安全管理体系的特点出发,基于风险管理和持续改进的思想,从实践出发,提出了行之有效的实施方法,此外,本文还跟踪研究了信息安全管理体系的最新发展,介绍了信息安全管理体系在架构、内容等方面的重大变化,指出了这种变化对未来实施信息安全管理体系的影响。
1 引言
随着信息技术的发展逐渐涌现众多信息安全问题,例如病毒、漏洞、黑客、安全事件等,这些安全问题不断对信息系统造成影响,进而对组织,甚至国家安全产生影响。如何解决信息安全问题也成为大家关注的焦点,防病毒、防火墙、入侵检测等信息安全产品逐步在各组织得到了部署。众所周知,技术和管理是相辅相成的,信息安全并不仅是技术过程,而是一个综合防范的过程,信息安全管理是综合防范过程中的一个重要部分,在信息安全保障工作中必须管理与技术并重,进行综合防范,才能有效保障安全,这也是实现信息安全目标的必由之路。
信息安全管理体系(Information Security Management Systems, 简称ISMS)是管理体系方法在信息安全领域的运用,它可以从组织整体的角度来识别安全风险,通过采取相应的安全控制措施(既包括安全技术措施,也包括安全管理措施),达到综合防范、保障安全的目标。信息安全管理体系的概念已经跳出了传统的“为了安全而安全”的理解,它强调的是基于业务风险方法来组织信息安全活动,其本身是组织整个管理体系的一部分。
2 信息安全管理体系方法及应用
2.1 信息安全管理体系的风险管理思想
风险管理是信息安全管理体系建设中的关键。风险管理包括风险评估和风险处理两个阶段,风险评估是信息安全管理体系建设中提出信息安全要求的关键依据,风险处理是解决信息安全问题,采取控制措施的指导规范。
1)风险管理是信息安全的基础性工作
信息安全中的风险管理是传统风险理论和方法在信息安全领域的运用,是科学分析和理解信息资产在保密性、完整性、可用性等方面所面临风险,并针对重要风险作出接受、减缓、转移和规避等控制方法的过程。
风险评估将导出信息资产的安全保护需求,因此,信息安全建设应以风险评估为起点,以控制安全风险,减少安全事件发生为目标。只有在正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在信息安全投资、信息安全措施选择、信息安全保障体系建设等方面作出合理决策。持续的风险管理工作将成为检查信息安全工作绩效的有力手段,并为信息化项目的立项、投资、运行产生影响,促进组织信息化的进一步发展。
2)风险评估和处理在信息安全管理体系建设中的重要性
信息安全管理体系的建立需要首选确定信息安全需求,而信息安全风险评估获取信息安全需求的主要手段,因此,信息安全风险评估是信息安全管理体系建立的基础,没有风险评估,信息安全管理体系的建立就没有依据。而风险处理的过程则是信息安全管理体系实施与运行阶段的重要内容,残余风险的水平将直接影响体系的运行效果。
因此风险评估和风险处理是信息安全管理体系建设运行过程中最重要的活动之一,风险评估和风险处理所生成的两个文件:风险评估报告和风险处理计划,也是体系运行的重要证据之一。信息安全管理体系运行的效果很大程度上取决于风险管理方法的适宜性和有效性。
特别声明:北极星转载其他网站内容,出于传递更多信息而非盈利之目的,同时并不代表赞成其观点或证实其描述,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。
凡来源注明北极星*网的内容为北极星原创,转载需获授权。
9月19日获悉,国家电网有限公司信息通信分公司牵头,与国家电网有限公司客户服务中心、国网信通产业集团北京中电普华信息技术有限公司等单位完成了“网上国网”系统数据库的优化升级,实现了公司关键业务系统的国产化数据库替换和系统数据全面上云。“网上国网”系统是公司官方统一线上服务门户,目前
近日,高特电子CEO徐剑虹与FractalEMSCEODanielCrotzer于美国加利福尼亚正式签署《战略合作备忘录》,并宣布双方已成功联合开发出具备信息安全保障的美国版BMS。该备忘录的签署不仅是对全球能源转型浪潮的积极响应,更是双方携手构筑信息安全防线的深刻承诺。《战略合作备忘录》明确了双方基于平等互利
集团公司对网络安全工作的高度重视,按照集团公司、新疆公司网络安全专题会议要求,华电昌吉分公司积极响应,通过重点时期、重要时段的演练进一步提升公司的网络安全防护能力,确保电力生产及信息系统的平稳运行。为全面做好网络重要时段保障工作,昌吉分公司超前谋划,重点部署,迅速成立了网络安全专
为切实提升网络信息安全防护技能,全力做好集团公司网络安全攻防实战演练防守工作,5月15日,国能龙岩发电公司加强组织领导,从提高思想意识着手,严格遵守演练注意事项,做好应急管理等措施,不断强化网络信息安全。该公司要求全员切实提高政治站位,加强组织领导,按照谁主管谁负责,谁运营谁负贵,
4月26日,国网天津电科院开展防消相结合的机房消防应急演练,进一步提高机房安全管理水平,增强员工消防安全意识,提升应对突发事件和应急处置能力。演练前,电科院制定了详细的演练方案,并对参与演练的运维人员进行了包括火灾预防措施、应急疏散程序以及灭火器材的正确使用方法等消防安全知识的培训
3月26日,国网天津电科院以“查隐患、控风险、抓落实、保安全”为主线开展春季信息安全大检查,全面排查信息设备、信息系统、网络专线、科技产出系统等信息安全,保障企业网络设备安全稳定运行,提升公司整体网络安全防护水平。本次工作中,电科院以现场排查、梳理自查、专项督查等多种形式相结合,结
3月27日,国网光山县供电公司2名信息专业工作人员正在认真梳理公司信息网络设备地址,确保省市公司关于IP地址资源管理提升工作的相关要求落实落地落细,为企业网络安全、稳定、可靠、高效运行夯实基础。IP地址资源管理是网络安全和性能管理的关键组成部分,有效的IP地址管理可以帮助企业确保网络的可用
为进一步加强和规范网络信息安全管理,切实提升员工网络与信息安全的主观防护意识,今年以来,国能晋江热电公司从安全自查、公司排查和规范管理三方面行动,构筑网络信息安全防护墙。根据网络信息安全管理要求,该公司要求所有员工对所使用电脑进行自查,确保所有办公电脑全部安装集团360软件,提高安
2月7日,国网天津电科院开展春节前网络信息安全专项检查,筑牢节日期间信息网络安全防线,严防信息安全事故发生,多措并举确保信息网络安全运行可靠。电科院信息安全分管领导和科技管理部门负责人带队,有序组织信息专责及运维人员成立专项排查小组,结合信息设备和办公区域实际运行情况,分别前往东丽
2024年1月10日,工业和信息化部党组书记、部长金壮龙到国家工业信息安全发展研究中心调研,了解工控安全、工业软件验证等重点平台和实验室建设运行情况,研究推动制造业数字化转型工作措施。金壮龙指出,中央经济工作会议强调要大力推进新型工业化,广泛应用数智技术、绿色技术,加快传统产业转型升级
为进一步推动网络信息安全建设,强化各级人员网络安全辨识能力,规范网络及终端安全办公,最近,盐城供电公司营销部组织员工进行网络信息安全专项培训,主要针对场所防护、终端防护以及互联网资产三方面进行宣贯学习,通过网络安全宣传教育专项工作,为公司网络信息安全筑起一道坚实的防线。盐城供电公
上海市经济信息化委12月13日公布2024年度工业通信业碳管理试点名单,其中产品碳足迹评价与碳标签试点项目5项、数字化碳管理平台试点项目6项、碳管理体系及绿色低碳发展规划试点项目2项、供应链碳管理试点项目4项、碳标准建设及应用试点项目3项、碳金融产品创新试点项目1项、低碳技术产品示范应用项目4
工业和信息化部发布2024年度绿色制造名单公示,其中绿色工厂1383家,绿色工业园区123家,绿色供应链管理企业127家。详情如下:2024年度绿色制造名单公示按照《绿色工厂梯度培育及管理暂行办法》有关要求,经省级工业和信息化主管部门推荐及专家评审,现将2024年度新培育的绿色工厂、绿色工业园区、绿色
工业和信息化部决定成立部人工智能标准化技术委员会,编号为MIIT/TC1,主要负责人工智能评估测试、运营运维、数据集、基础硬件、软件平台、大模型、应用成熟度、应用开发管理、人工智能风险等领域行业标准制修订工作。第一届工业和信息化部人工智能标准化技术委员会由41名委员组成,秘书处由中国信息通
根据《工业和信息化部办公厅关于组织开展2024年度质量提升与品牌建设典型案例遴选工作的通知》(工信厅科函〔2024〕362号),经自愿申报、推荐审核、专家评审、征求意见等环节,现遴选出100项工业和信息化质量提升与品牌建设典型案例。公示时间:2024年12月10日至12月17日
工业和信息化部网站12月6日发布《工业和信息化部绿色低碳标准化技术委员会筹建方案公示》,工业和信息化部绿色低碳标准化技术委员会将按照《工业和信息化部专业标准化技术委员会管理办法》开展所属领域标准化工作,具体包括:(一)研究提出工业和信息化部绿色低碳领域综合性、基础性相关行业标准制修
近日,由中国电机工程学会电力信息化专业委员会主办的“2024电力行业信息化年会”在江西省南昌市召开。本次年会以“乘×数而来,智+享电力”为主题。在本次年会上,华为携最新的基于fgOTN(细颗粒光传送网)技术的电力通信网解决方案亮相,致力于为电力打造骨干网更宽、配用电覆盖更广、台区更透明的电
工业和信息化部办公厅11月11日发布《重点工业产品碳足迹核算规则标准编制指南》(工信厅节函﹝2024﹞411号),其中提出将逐步完善重点工业产品碳足迹核算方法规则和标准体系,推动建立符合国情实际的产品碳足迹管理体系,促进工业绿色低碳转型,助力经济高质量发展。到2027年,制定出台200项重点工业产
10月24日,工业和信息化部办公厅关于公布工业和信息化领域北斗规模应用试点城市名单的通知(工信厅电子函〔2024〕351号),确定了全国39个城市为工业和信息化领域北斗规模应用试点城市。原文如下:工业和信息化部办公厅关于公布工业和信息化领域北斗规模应用试点城市名单的通知工信厅电子函〔2024〕351
10月27日晚,海联讯发布公告称,杭州市国有资本投资运营有限公司(下称“杭州资本”)作为公司控股股东和B股上市公司杭汽轮的间接控股股东,拟筹划海联讯和杭汽轮进行重大资产重组,公司A股股票自10月28日(星期一)开市起停牌,预计停牌时间不超过10个交易日。截至目前,本次交易仍处于筹划阶段,交易
云南电网有限责任公司2024年第三批信息化项目货物类专项采购(公开竞争性谈判)成交候选人公示(项目编号:CG0500062001893063)公示开始时间:2024-10-23公示结束时间:2024-10-28
工业和信息化部10月8日发布《印染行业绿色低碳发展技术指南(2024版)》,本指南共6部分、47项绿色低碳技术,与2019版相比,删除6项技术、新增17项技术。1—5部分为绿色先进适用技术,涵盖资源能源利用率高、污染物排放少、经济效益好、成熟可靠、适宜推广应用的技术,其中第4部分为降碳减污协同增效技
12月16日,宁德市工信局关于2024年省级新一代信息技术与制造业融合发展项目拟奖励企业名单的公示。工业数据安全标杆企业分别是宁德新能源科技有限公司、时代一汽动力电池有限公司、宁德时代新能源科技股份有限公司。原文如下:关于2024年省级新一代信息技术与制造业融合发展项目拟奖励企业名单的公示根
近日,龙源电力工程技术公司顺利通过ITSS(信息技术服务标准)认证,取得信息技术服务三级资质,标志着该公司在信息技术服务领域具备了较高的专业水平和规范的管理能力,进一步增强了市场竞争力。ITSS资质是我国信息技术服务行业最具权威性和影响力的标准之一,涵盖了信息技术服务的全生命周期,包括规
北极星储能网获悉,9月18日,内蒙古自治区工业和信息化厅发布对自治区政协十三届二次会议第0412号提案的答复。文件明确,强化协同创新。推进能源生产和消费革命,推动电子信息技术与新能源需求融合创新,打造“智能光伏、新型储能、终端应用、信息技术”协调发展的能源电子产业集群。原文如下:对自治
北极星储能网获悉,8月16日,北京市东城区人民政府印发《东城区加快硅巷高质量建设行动计划(2024—2026年)》。文件指出,做强两个特色优势产业。数字文娱:以数字赋能文化消费创新发展为主线,加大数字化文娱产品和服务创新,促进“文化+科技”深度融合发展;数智能源:支持能源技术与新一代信息技术
2024年7月11日,工业和信息化部信息技术发展司在江西省南昌市召开制造业数字化转型推进工作会。会议介绍了以图谱化、场景化推动制造业数字化转型的总体工作考虑,并就两化融合公共服务平台、钢铁产业链“一图四清单”工作开展情况,以及标准助力制造业数字化转型发展建设情况进行了报告,江西、河北地
6月13日,2024年粤港澳软件产业高质量发展大会、第十二届粤港云计算大会暨第七届粤港澳ICT大会在广州举办,大会发布了《2024广东软件风云榜》,远光资金分析调控平台Cashinsight凭借卓越的技术创新实力以及创新推广应用的显著成效,获评“优秀信息技术应用创新产品”。远光资金分析调控平台Cashinsight
4月7日,陕西省发展和改革委员会印发《陕西省培育千亿级化工材料产业创新集群行动计划》,其中提到,加强源头减碳、过程减碳、终端固碳,创建10个以上示范性绿色化工园区、绿色工厂,开展绿色化工产品认证,推进化工材料产业绿色制造体系不断完善。二是提升产业数字化智能化水平。并且,加快5G、大数据
北极星电力网获悉,中国学位与研究生教育学会日前公布了《研究生教育学科专业简介及其学位基本要求》(试行版)。相较于上一版的研究生教育学科专业划分,电气工程二级学科由5个(电机与电器、电力系统及其自动化、高电压与绝缘技术、电力电子与电力传动、电工理论与新技术)增加为10个(电工理论与新
按照《工业和信息化部办公厅关于组织开展2023年新一代信息技术与制造业融合发展示范申报工作的通知》(工信厅信发函〔2023〕243号)要求,经企业自主申报、地方推荐、专家评审、网上公示等环节,确定了184个2023年新一代信息技术与制造业融合发展示范项目。
北极星电力软件网获悉,12月14日,工业和信息化部信息技术发展司发布关于2023年新一代信息技术与制造业融合发展示范名单的公示。原文如下:关于2023年新一代信息技术与制造业融合发展示范名单的公示根据《工业和信息化部办公厅关于组织开展2023年新一代信息技术与制造业融合发展示范申报工作的通知》(
北极星电力软件网获悉,12月11日,山东省工业和信息化厅发布关于公布山东省2023年新一代信息技术与制造业融合发展示范名单的通知。文件提出,原文如下:山东省工业和信息化厅关于公布山东省2023年新一代信息技术与制造业融合发展示范名单的通知鲁工信工联〔2023〕247号各市工业和信息化局,有关企业(
请使用微信扫一扫
关注公众号完成登录
姓名: | |
性别: | |
出生日期: | |
邮箱: | |
所在地区: | |
行业类别: | |
工作经验: | |
学历: | |
公司名称: | |
任职岗位: |
我们将会第一时间为您推送相关内容!