客服热线:021-8034****

深圳ISO27000认证的五大安全治理规范(ISO认证申请需要注意什么)

  
很多企业对深圳ISO27000认证的五大安全治理规范(ISO认证申请需要注意什么)都不是很了解,今天企业易就为大家简单介绍一下深圳ISO27000认证的五大安全治理规范(ISO认证申请需要注意什么),希望大家能对深圳ISO27000认证的五大安全治理规范(ISO认证申请需要注意什么)有一个深入的了解.如果对深圳ISO27000认证的五大安全治理规范(ISO认证申请需要注意什么)还有疑问,可查看更多内容.
深圳ISO27000认证的五大安全治理规范(ISO认证申请需要注意什么)

深圳ISO27000认证的五大安全治理规范

一、经济合作和发展组织,《信息系统安全指南》(1992) 《信息系统安全指南》用于协助国家和企业构建信息系统安全框架。美国、OECD的其他23个成员国,以及十几个非OECD成员国家都批准了这一指南。该指南旨在提高信息系统风险意识和安全措施,提供1个通常性的框架以辅助信息系统安全度量方法、操作流程和实践的制定和实施,鼓励关注信息系统安全的公共和私有部门间的合作,促进人们对信息系统的信心,促进人们应用和使用信息系统,方便国家间和国际间信息系统的开发、使用和安全防护。这个框架包含法律、行动准则、技术评估、管理和用户实践,及公众教育或宣传。该指南目的是作为政府、公众和私有部门的标杆,通过此标杆测量进展。

二、国际会计师联合会,《信息安全管理》(1998) 信息安全目标是“保护依靠信息、信息系统和传送信息的人、通信设施的利益不由于信息机密性、完整性和可用性的故障而遭受损失。任何组织在满足三条准则时可认为达到信息安全目标:数据和信息只透露给有权知道该数据和信息的人(机密性);数据和信息保护不受未经授权的修改(完整性);信息系统在必须时可用和有用(可用性)。机密性、完整性和可用性之间的相对优先级和重要性根据信息系统中的信息和使用信息的商业环境而不同。信息安全因急速增长的事故和风险种类而日益重要。对信息系统的威胁既有可能来自有意或无意的行动,也可能来自内部或外部。信息安全事故的发生可能是由于技术方面的因素、自然灾害、环境方面、人的因素、非法访问或病毒。此外,业务依赖性(依靠第三方通信设施传送信息,外包业务等等)也可能潜在地导致管理控制的失效和监督不力。

三、国际标准化组织,《ISO 17799国际标准》(最新版是2005) ISO17799(根据BS 7799第一部分制定)作为明确控制范围的单一参考点,在大多数情况下,这些控制是使用业务信息系统所必须的。该标准适应任何规模的组织。它把信息作为一种资产,像其他重要商业资产一样,这种资产对组织有价值,因此必须恰当保护它。ISO 17799认为信息安全有下列特征:机密性,确保信息只被相应的授权用户访问;完整性,保护信息和处理信息程序的准确性和完整性;可用性,确保授权用户在必须时能够访问信息和相关资产。信息安全保护信息不受广泛威胁的损毁,确保业务连续性,将商业损失降至最小,使投资收益最大并抓住各种商业机遇。安全是通过实施一套恰当的控制措施实现的。该控制措施由策略、实践、程序、组织结构和软件组成。

四、信息系统审计和控制协会,《信息和相关技术的控制目标》(CoBIT) CoBIT起源于IT必须传递组织为达到业务目标所需的信息这个前提,至今已有3个版本。除了鼓励以业务流程为中心,实行业务流程负责制外,CoBIT还考虑到组织对信用、质量和安全的必须,它提供了组织用于定义其对IT业务要求的几条信息准则:效率、效果、可用性、完整性、机密性、可靠性和一致性。CoBIT进1步把IT分成4个领域(计划和组织,获取和实施,交付和支持,监控),共计34个IT业务流程。CoBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提供了超过300个详细的控制目标,以及建立在这些目标上的广泛的行动指南。COBIT框架通过联结业务风险、控制必须和技术手段来协助满足管理当局多样化的需求。它提供了通过1个范围和过程框架的最佳惯例,以形成1个可控和逻辑结构内的活动。

五、美国申请注册会计师协会(加拿大特许会计师协会),《SysTrust TM系统可靠性原理和准则 V20》(2001) SysTrust服务是一种保证服务,用于增强管理者、顾客和商业伙伴对支持业务或某种特别活动的系统的信任。SysTrust服务授权申请注册会计师承担的保证服务包含:申请注册会计师从可用性、安全性、完整性和可维护性4个基本方面评估和测试系统是否可靠。 SysTrust定义在特定环境下及特定阶段内,没有重大错误、缺陷或故障地运行的系统为可靠系统。系统界限由系统所有者明确,但必须包含基础设施、软件、人、程序和数据这几个关键部分。 SysTrust的框架可升级,企业能够灵活选择SysTrust标准的任何部分或全部来验证系统的可靠性。对系统4个标准的判断组成对系统整体可靠性的判断。申请注册会计师也能单独判断某一标准如可用性或安全性的可靠性状况。可是这种判断仅仅对特定标准的可靠性做出判断,不是对系统整体可靠性的判断。

免责声明
• 
本文仅代表作者个人观点,本站未对其内容进行核实,请读者仅做参考,如若文中涉及有违公德、触犯法律的内容,一经发现,立即删除,作者需自行承担相应责任。涉及到版权或其他问题,请及时联系我们