电子政务之信息安全管理
电子政务信息安全的管理问题及解决策略
电子政务信息安全的管理问题及解决策略电子政务是指政府利用信息技术手段开展政务活动,提供政务服务的方式。
信息安全是电子政务发展过程中必须关注的重要问题之一。
由于电子政务涉及到大量的政府数据、个人信息以及各种业务流程,如果信息安全管理不当,将会给个人和社会带来严重的风险和损失。
本文将从管理问题和解决策略两个方面对电子政务信息安全进行探讨。
1. 安全意识薄弱。
由于政府工作人员的安全意识普遍较低,对信息安全管理的重要性认识不足,容易造成信息泄露、篡改等问题。
2. 管理制度不健全。
当前,我国在电子政务信息安全管理方面的政策法规还比较不完善,缺乏相应的管理制度和操作规范,导致安全管理工作缺乏科学性和规范性。
3. 人员素质不高。
电子政务信息安全管理需要专业的技术和管理人员,但目前我国相关人才相对较少,造成了管理困难和人才流失的问题。
4. 外部攻击风险增加。
随着电子政务的快速发展,黑客、病毒等网络攻击手段不断升级,政府信息系统面临着外部攻击风险的增加。
5. 备份和恢复不完善。
电子政务系统的数据备份和恢复机制不完善,一旦出现系统故障或数据丢失,将会严重影响政务活动的正常开展。
1. 加强安全意识教育。
通过开展信息安全培训和宣传活动,提高政府工作人员的安全意识,使其能够正确理解和应对信息安全问题。
3. 加强人员培训和引进。
加大对电子政务信息安全管理人员的培训力度,提高他们的专业素质和技术能力。
引进相关领域的专业人才,增强管理队伍的实力。
4. 增强安全技术防护能力。
投入更多的资金和人力,加强电子政务系统的安全技术防护措施,包括防火墙、入侵检测系统、加密技术等,降低系统被攻击的风险。
5. 健全备份和恢复机制。
建立完善的数据备份和恢复机制,定期进行数据备份,并进行测试和验证,确保数据的完整性和可恢复性。
结语:电子政务信息安全管理是电子政务发展的关键环节之一,只有加强安全意识教育,建立健全的管理制度,提高人员素质,加强技术防护,健全备份和恢复机制,才能有效地保护政府信息系统的安全,确保电子政务活动的正常开展。
电子政务信息安全的管理问题及解决策略
电子政务信息安全的管理问题及解决策略随着信息技术的不断发展,电子政务已经成为政府管理和服务的重要手段。
随之而来的是电子政务信息安全的管理问题。
信息安全不仅关乎政府机构的工作运行,更直接关系到公民的个人隐私和国家的安全稳定。
如何有效管理电子政务信息安全成为摆在各级政府面前的重要课题。
本文将针对电子政务信息安全的管理问题,提出相应的解决策略。
1. 数据泄露和滥用:电子政务系统中储存了大量的政府和公民个人敏感信息,一旦发生数据泄露或者滥用,将会对国家和公民造成严重的损失。
2. 黑客攻击和网络病毒:电子政务系统遭到黑客攻击或者感染网络病毒的风险一直存在,一旦遭到攻击,将对政府的正常运转和公民的权益造成严重威胁。
3. 技术设备漏洞:电子政务系统中使用的技术设备存在漏洞,可能被不法分子利用进行攻击,这需要政府及时修补漏洞,加强系统安全性。
4. 内部人员破坏:内部人员滥用权限、违规操作或者故意破坏系统也是电子政务信息安全的一大隐患。
5. 管理体系不健全:电子政务信息安全管理体系不健全,缺乏有效的安全管理约束和监督机制。
以上问题的存在,使得电子政务信息安全成为了当前亟待解决的难题。
二、解决策略1. 完善安全管理制度建立健全的电子政务信息安全管理制度,包括制定信息安全管理制度和相关操作规定、建立相关的安全管理组织机构、设立信息安全管理部门等,从制度上保障信息安全。
2. 加强安全技术保障利用最新的信息安全技术,包括数据加密技术、网络安全技术、应用安全技术等,加强对电子政务系统的安全保护,防止黑客攻击、信息泄露等风险。
3. 完善操作权限管理建立完善的操作权限管理系统,严格控制用户权限,确保只有经过授权的人员能够进行相应的操作,防止内部人员滥用权限、违规操作等问题。
4. 加强人员培训和意识教育加强对电子政务系统的管理人员和操作人员的信息安全培训,提高其对信息安全的重视和意识,确保他们具备相应的信息安全保护知识和技能。
5. 建立灵活高效的安全监控机制建立健全的安全监控机制,包括实施实时监控、异常检测、安全事件管理等,及时发现并处理系统安全问题,确保系统的稳定安全运行。
电子政务信息安全管理制度
一、总则为加强我国电子政务信息安全管理工作,确保电子政务系统安全稳定运行,维护国家安全和社会公共利益,根据《中华人民共和国网络安全法》等相关法律法规,特制定本制度。
二、组织机构与职责1. 电子政务信息安全工作领导小组电子政务信息安全工作领导小组负责组织、协调、监督电子政务信息安全管理工作,其主要职责如下:(1)研究制定电子政务信息安全政策、规划和管理制度;(2)审批电子政务信息安全重大事项;(3)协调解决电子政务信息安全工作中的重大问题;(4)监督、检查电子政务信息安全工作落实情况。
2. 电子政务信息安全管理部门电子政务信息安全管理部门负责具体实施电子政务信息安全管理工作,其主要职责如下:(1)贯彻落实电子政务信息安全政策、规划和管理制度;(2)制定电子政务信息安全管理制度、操作规程和技术规范;(3)开展电子政务信息安全检查、评估和整改工作;(4)负责电子政务信息安全事件的应急处理和调查处理;(5)负责电子政务信息安全人才的培训与选拔。
三、信息安全管理制度1. 网络安全管理制度(1)建立网络安全防护体系,包括防火墙、入侵检测、病毒防护等安全设备;(2)对内外网进行物理隔离,防止内外网信息泄露;(3)定期对网络设备进行安全检查、维护和升级;(4)严格控制访问权限,确保网络安全。
2. 数据安全管理制度(1)建立数据分类分级保护制度,对敏感信息进行严格保护;(2)定期对数据备份,确保数据恢复能力;(3)对数据传输进行加密,防止数据泄露;(4)对数据存储设备进行安全检查、维护和升级。
3. 应用安全管理制度(1)对电子政务应用系统进行安全开发、测试和部署;(2)对应用系统进行安全审计,确保系统安全;(3)定期对应用系统进行安全检查、维护和升级。
4. 信息安全事件管理制度(1)建立健全信息安全事件报告、调查、处理和总结制度;(2)对信息安全事件进行分类分级,明确责任;(3)及时处理信息安全事件,防止事件扩大;(4)对信息安全事件进行总结,完善信息安全管理制度。
电子政务平台的信息安全管理
电子政务平台的信息安全管理信息安全是电子政务平台建设中至关重要的一环。
随着互联网技术的发展,电子政务平台在政府工作中起到了至关重要的作用。
然而,由于信息的开放性和互联网的不确定性,电子政务平台面临着各种信息安全威胁。
为保障电子政务平台的安全稳定运行,有效地进行信息安全管理是必不可少的。
一、建立完善的信息安全管理制度在电子政务平台的建设中,首先要建立起完善的信息安全管理制度。
这需要政府部门制定相关的政策、法规和标准,明确各个部门在信息安全管理中的职责和权限,确保各个环节的安全管理得以贯彻执行。
同时,政府部门还应加强对员工的安全培训和教育,提高员工的安全意识,确保他们能够正确处理各类安全事件,并及时上报和处置。
二、强化对数据的加密与保护电子政务平台中所涉及的数据是非常重要且敏感的,因此需要采取必要的加密措施,确保数据在传输和存储过程中的安全。
政府部门可以使用安全传输协议(如SSL/TLS)对数据进行加密,使用访问控制机制对数据进行权限管理,以控制未经授权的访问并防止数据泄露。
此外,对于重要的数据,政府部门还应备份并定期测试恢复数据的能力,以防止数据丢失和意外损坏。
三、加强网络安全防护为了保障电子政务平台的安全,政府部门需要在技术层面上采取一系列的安全措施来保护网络系统免受各类攻击。
首先,政府部门应建立健全的网络安全监控和预警机制,及时发现和响应网络攻击事件。
其次,政府部门要定期进行漏洞扫描和安全评估,及时修补系统漏洞和弱点。
另外,政府部门还需要建立起入侵检测和防火墙等网络安全设施,过滤和拦截恶意攻击和非法访问。
四、加强对供应商和第三方的管理电子政务平台的建设通常会涉及到多家供应商和第三方合作伙伴,因此政府部门需要加强对供应商和第三方的管理和监督。
政府部门应对供应商的安全能力和信誉进行评估,选择具备良好信誉和严格信息安全管理制度的供应商进行合作。
与供应商和第三方的合作应签订相关的保密协议和服务合同,规定双方在信息安全管理方面的权责,明确保护措施和违约责任。
电子政务之信息安全的解决方案
电子政务之信息安全的解决方案引言随着信息技术的飞速发展,电子政务已经成为国家和地方政府的重要组成部分。
然而,与之相伴的是信息安全问题日益突出。
政府部门处理的大量敏感信息和重要数据往往成为攻击者的目标。
因此,为了确保电子政务的安全性和稳定性,必须采取一系列有效的信息安全解决方案。
加强网络安全建设首先,电子政务系统需要建立强大的网络安全防御系统。
以下是一些可以采取的措施:1.建立防火墙:在电子政务系统与互联网之间建立防火墙以阻止未经授权的访问和恶意攻击。
2.使用入侵检测和防御系统:利用先进的入侵检测和防御系统,实时监控系统中的异常行为和攻击尝试,并采取相应的对策。
3.加强网络设备的安全性:对所有的网络设备(如路由器、交换机和服务器)进行定期的漏洞检测和安全补丁管理。
4.加密通信:通过使用加密协议和安全通信通道,确保敏感信息在传输过程中不会被窃取或篡改。
5.限制访问权限:对电子政务系统中的各个模块和用户进行精细的权限控制,确保只有经过授权的人员才能访问敏感数据。
增强身份认证和访问控制为了解决电子政务中的身份验证问题,以下措施应被采取:1.使用多重身份验证:采用多种身份验证方式,如密码、生物识别、智能卡等,以确保用户的真实身份。
2.强化密码策略:制定强密码策略,要求用户使用复杂的密码,并定期更换密码。
3.采用单一登录(SSO)技术:通过单一登录技术,用户只需要一次登录就可以访问多个系统,减少密码管理的困扰。
4.实施访问控制:通过访问控制策略,对系统中的各个功能和资源进行权限控制,确保用户只能访问必要的信息。
数据安全和备份为了保护电子政务系统中的数据安全,以下是一些推荐的措施:1.数据加密:对电子政务系统中的敏感数据进行加密,以免在数据存储和传输过程中被窃取或篡改。
2.定期备份数据:定期备份电子政务系统中的数据,并将备份数据存储在安全的地方,以便在数据遭受损坏或丢失时进行恢复。
3.建立安全审计机制:建立完善的安全审计机制,记录和监控系统中的安全事件,并及时采取相应的措施应对。
电子政务中的信息安全管理方法
电子政务中的信息安全管理方法随着科技的迅速发展,电子政务正在成为政府机构提供高效便捷公共服务的主要方式。
然而,随之而来的是大量的个人和敏感数据在电子系统中传输和存储,这也引发了对信息安全的重视。
信息安全管理是电子政务系统中至关重要的一环,合理和有效地管理信息安全,将确保政府部门和公众的利益不受侵害。
本文将介绍一些在电子政务中常用的信息安全管理方法。
1. 制定完善的信息安全政策和控制措施:信息安全政策是组织保护信息安全的基础,也是信息安全管理的核心。
政府机构应当制定完善的信息安全政策,包括明确信息安全目标、责任分工、参与部门和个人、信息资产的分类和等级以及信息安全培训等。
同时,制定相应的信息安全控制措施,例如访问控制、加密通信、监控和审计等,以确保敏感数据的保密性、完整性和可用性。
2. 定期进行风险评估和漏洞扫描:风险评估是确定信息安全威胁和漏洞的关键步骤。
政府机构应该定期对电子政务系统进行风险评估,评估系统安全性,并检测和修补可能存在的漏洞。
漏洞扫描可以帮助发现系统中的安全漏洞,及时采取措施加以修复。
此外,政府机构还应当建立漏洞报告和处理机制,鼓励用户和相关人员及时向其报告潜在的安全问题。
3. 强化网络安全防护:电子政务系统面临被黑客攻击和恶意软件侵入的风险,因此政府机构需要强化网络安全防护措施。
首先,建立防火墙和入侵检测系统,能够及时发现和隔离网络攻击的行为。
其次,政府机构应当进行网络访问控制,只允许经过身份验证的用户访问系统。
另外,定期备份数据、建立安全的存储系统和多层次认证机制等也是保护电子政务系统免受网络攻击的重要手段。
4. 加强员工鉴别和安全意识培训:政府机构的工作人员是电子政务系统中最常接触到敏感数据的人员,因此他们的安全意识和行为对信息安全至关重要。
政府机构应当加强员工的鉴别措施,例如使用多因素身份认证,并建立可追溯的操作日志。
此外,政府机构还应对工作人员进行定期的信息安全培训,提高其信息安全的意识和知识水平,使其能够正确处理和保护敏感信息。
电子政务信息安全的管理问题及解决策略
电子政务信息安全的管理问题及解决策略电子政务信息安全管理是指针对电子政务系统中的信息安全问题进行管理和解决的相关工作。
随着信息技术的不断发展和应用,电子政务系统已经成为现代政务管理的重要手段,但与此同时也带来了一系列的信息安全问题。
本文将就电子政务信息安全管理中存在的问题及解决策略进行探讨。
一、电子政务信息安全管理中存在的问题1. 信息泄露风险:电子政务系统中涉及各类敏感信息,如个人隐私、国家机密等,如果没有有效的安全措施,有可能导致信息泄露,对个人和国家带来不可估量的损失。
2. 数据篡改风险:电子政务系统中的数据可能会被黑客篡改,修改或删除,从而影响政务管理的正常进行,对社会秩序和公共利益产生不良影响。
3. 假冒伪造风险:电子政务系统中存在着冒名顶替、伪造身份等问题,黑客可能通过技术手段盗用他人的身份进行非法活动。
4. 系统漏洞风险:电子政务系统中的软件和硬件设备可能存在未知的漏洞,黑客可以利用这些漏洞进行攻击,造成系统瘫痪或者信息泄露。
5. 内部人员安全风险:电子政务系统中的各类操作人员存在着安全风险,如个人利益驱使、滥用权限等问题,可能会给系统安全带来威胁。
二、电子政务信息安全管理的解决策略1. 加强身份认证和访问控制:通过建立完善的身份认证机制和访问控制策略,确保只有经过授权的用户才能访问系统,并限制其权限,加强对敏感信息的保护。
2. 建立完善的安全策略和制度:制定并执行相关安全策略和制度,包括对系统进行安全审计、定期备份数据、加密重要信息等,增强系统的抗攻击能力。
3. 安全意识培训和教育:针对电子政务系统的操作人员,定期进行安全意识培训和教育,引导其正确使用系统,并提高安全防范意识。
4. 定期安全检测和漏洞修补:委托专业安全机构对电子政务系统进行定期的安全检测和漏洞修补,确保系统的稳定性和安全性。
5. 建立应急响应机制:建立健全的应急响应机制,及时处理系统漏洞和安全事件,减少损失并提高应对能力。
电子政务信息安全的管理问题及解决策略
电子政务信息安全的管理问题及解决策略随着信息技术的不断发展,各国政府已经大力推进电子政务建设,采用互联网技术来改善政府工作效率,提升公共服务质量。
然而,随着网络攻击和黑客入侵的增加,电子政务信息安全成为了管理问题的一个新焦点。
本文将探讨电子政务信息安全的管理问题及解决策略。
1.缺少全方位的安全保障措施:电子政务建设中往往在设计网络结构时仅仅考虑到系统的正常使用和运行,对于网络安全建设并没有投入足够的重视和投资,相对于网络安全防御手段,开发程度更高的技术得到了更多的投入,导致系统安全保护措施的缺失。
数据安全也面临很多风险,如黑客攻击、病毒制造、信息泄露等。
2.网络系统开放程度较高:政府电子政务系统的开放程度较高,因此极易受到黑客攻击而造成数据泄露,Infosecurity Magazine的一项调查显示,超过三分之二的电子政务系统在过去一年中遭到过攻击,其中40%的机构未能及时发现。
3.缺少统一的监管和管理手段:目前电子政务系统中的信息交换高度分散,缺乏有效的数据共享途径和机制,导致各机构信息互通存在困难,监管和管理难度增大。
4.网络人才短缺:政府电子政务系统涉及的技术领域宽广,任何一个环节的安全问题都将影响整个系统的安全性。
但现实中,政府缺乏专业的技术人才,以及全面的电子政务管理经验。
1.加强安全体系建设:完善各级电子政务系统的管理机制和企业安全防护体系的建设,制订相应的安全管理制度,加强对远程办公和移动办公的管理和防护,严格执行信息安全管理措施。
2.建立安全预警机制:构建电子政务系统的安全管控中心,实现网络流量监测、事件检测和安全警告,在发生安全事件后及时预警和处理。
3.加强人员安全意识教育:加强对电子政务安全管理人员的培训,提高从业人员的安全防范意识、技术知识和科学素养。
并对外部用户提供公共安全教育,增强公众自身防范能力。
4.建立安全检测机制:加强对已经上线运行的信息系统的安全检测,包括常规漏洞扫描、安全配置审查、代码审查、黑盒和白盒测试等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第六章信息安全管理第一节信息安全管理概述一、信息安全管理的内容1、什么信息安全管理?通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源,以期有效达到组织信息安全目标的活动。
2、信息安全管理的主要活动制定信息安全目标和寻找实现目标的途径;建设信息安全组织机构,设置岗位、配置人员并分配职责;实施信息安全风险评估和管理;制定并实施信息安全策略;为实现信息安全目标提供资源并实施管理;信息安全的教育与培训;信息安全事故管理;信息安全的持续改进。
3、信息安全管理的基本任务(1)组织机构建设(2)风险评估(3)信息安全策略的制定和实施(4)信息安全工程项目管理(5)资源管理◆(1)组织机构建设★组织应建立专门信息安全组织机构,负责:①确定信息安全要求和目标;②制定实现信息安全目标的时间表和预算③建立各级信息安全组织机构和设置相应岗位④分配相应职责和建立奖惩制度⑤提出信息安全年度预算,并监督预算的执行⑥组织实施信息安全风险评估并监督检查⑦组织制定和实施信息安全策略,并对其有效性和效果进行监督检查⑧组织实施信息安全工程项目⑨信息安全事件的调查和处理⑩组织实施信息安全教育培训⑾组织信息安全审核和持续改进工作★组织应设立信息安全总负责人岗位,负责:①向组织最高管理者负责并报告工作②执行信息安全组织机构的决定③提出信息安全年度工作计划④总协调、联络◆(2)风险评估★信息系统的安全风险信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。
★信息安全风险评估是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的XX性、完整性和可用性等安全属性进行科学评价的过程它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
★信息系统安全风险评估的总体目标是:服务于国家信息化发展,促进信息安全保障体系的建设,提高信息系统的安全保护能力。
★信息系统安全风险评估的目的是:认清信息安全环境、信息安全状况;有助于达成共识,明确责任;采取或完善安全保障措施,使其更加经济有效,并使信息安全策略保持一致性和持续性。
★信息安全风险评估的基本要素使命:一个单位通过信息化实现的工作任务。
依赖度:一个单位的使命对信息系统和信息的依靠程度。
资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。
价值:资产的重要程度和敏感程度。
威胁:一个单位的信息资产的安全可能受到的侵害。
威胁由多种属性来刻画:威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果。
脆弱性:信息资产及其防护措施在安全方面的不足和弱点。
脆弱性也常常被称为漏洞。
风险:由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。
它由安全事件发生的可能性及其造成的影响这两种指标来衡量。
残余风险:采取了安全防护措施,提高了防护能力后,仍然可能存在的风险。
安全需求:为保证单位的使命能够正常行使,在信息安全防护措施方面提出的要求。
安全防护措施:对付威胁,减少脆弱性,保护资产,限制意外事件的影响,检测、响应意外事件,促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。
★信息安全风险评估的标准制定工作2004年全国信息安全标准化技术委员会将《信息安全风险评估指南》列入2005年度国家信息安全标准制定工作计划中, 将《信息安全风险管理指南》列入国家信息安全标准研究工作规划中。
目前《信息安全风险评估指南》已完成评审, 报国家标准管理委员会颁布国信办已以国信【2006】9号文的形式发各部委和省市★《信息安全风险评估指南》主要内容规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则;介绍了风险评估的定义、风险评估的模型以及风险评估的实施过程;详细描述了对资产、威胁和脆弱性的识别方法;描述了风险评估在信息系统生命周期中的作用;描述了风险评估的不同形式;在附件中介绍了信息安全风险评估的方法、工具和实施案例◆(3)信息安全策略的制定和实施策略:解决某一方面问题的目的、X围、流程、准则的集合信息安全策略文件就每一个策略建立实施计划,落实所需资源策略发布后,实施培训策略的评审和修订◆(4)信息安全工程项目管理需求分析;规划立项;实施;验收;工程监理◆(5)资源管理信息安全预算;人力资源;基础设施;信息安全教育培训二、信息安全管理体系1、什么是管理体系★ISO9000-2000中的相关定义体系system——相互关联和相互作用的一组要素管理体系 management system——建立方针和目标并实现这些目标的体系我国管理体系组织机构国家认证认可监督管理委员会中国合格评定国家认可中心CNAB CNAT CNAL★目前流行的管理体系质量管理体系QMS——ISO/IEC9000,9001,9004等;环境管理体系EMS——ISO/IEC14000;职业安全卫生管理体系——OHMSAS18000;信息安全管理体系 ISMS——ISO/IE17799&ISO27001;2、信息安全管理体系★ISMS:◇Information Security Management System 信息安全管理体系◇指在信息安全方面指挥和控制组织的以实现信息安全目标的相互关联和相互作用的一组要素。
◇信息安全目标应是可度量的★信息安全管理体系要素包括◇信息安全方针、策略;◇信息安全组织结构;◇各种活动、过程;◇信息安全控制措施;◇人力、物力等资源;◇其他……信息安全管理体系方法图解:三、信息安全管理标准★安全标准可以分成以下几大类:安全体系结构和框架标准;分层安全协议标准;安全技术标准;具体应用安全标准;安全管理标准当前信息安全面临着“道高一尺,魔高一丈”的尴尬处境,在信息安全技术进步的同时,信息安全问题却越来越严重,人们逐渐深刻地认识到,信息安全不只是个技术问题,而更多地是商业、管理和法律的问题。
实现信息安全不仅仅需要采用技术措施,还需要更多地借助于技术以外的其它手段,如规X安全标准和进行信息安全管理,这一观点被越来越多的人们所接受。
单纯的技术不能提供信息全面的安全保护,仅靠安全产品并不能完全解决信息的安全问题已逐渐成为共识。
在全社会普遍关注信息安全的情况下,各个企业或机构又都面临遵循XX标准与安全法规的要求,越来越多的经理人和董事会或领导层也逐渐认识到自己在信息安全管理中所必须担负的责任和义务。
同时,有关信息安全标准、法律和法规的数量正在迅速增加,许多机构都面临遵守各种安全标准和法规的要求。
随着越来越多的标准、法律和法规的出台,统一安全标准的需求自然成为一个很现实的问题。
★信息安全管理国际标准的发展过程1992年,世界经济合作与发展组织(oecd)发表了《信息系统安全指南》,旨在帮助成员和非成员的政府和企业组织增强信息系统的风险意识,提供一般性的安全知识框架。
美国、oecd的其他23个成员,以及十几个非oecd成员都批准了这一指南。
该指南旨在提高信息系统风险意识和安全措施,提供一个一般性的框架以辅助针对信息系统安全的有效的度量方法、实践和程序的制定和实施,鼓励关心信息系统安全的公XX私有部门间的合作。
促进人们对信息系统的信心,促进人们应用和使用信息系统,方便国家间和国际间信息系统的开发、使用和安全防护。
这个框架包括法律、行动准则、技术评估、管理和用户实践,及公众教育/宣传活动。
该指南的最终目的是作为政府、公众和私有部门的信息安全管理的基准,相关机构能通过此基准来衡量本身在信息安全管理方面的进展。
1998年,国际会计师联合会发表了一个有关《信息安全管理》的文件,认为信息系统安全的目标有三个:可用性,即确保信息系统在需要的时候可用;XX性,即对数据信息的访问控制设计完备的策略;完整性,即保证数据信息不受未经授权的修改。
1993年1月,英国标准协会(british standards institution,简称bsi)成立了信息安全的行业工作小组。
1993年9月,信息安全管理体系实施要则出版。
1995年2月,英国标准协会制定的信息安全管理体系标准bs7799-1出版。
1998年2月,bs7799-2出版。
bs7799对信息安全的控制X围、安全准则、安全管理等要素做出了规X性的表述。
2002年9月:bs7799-2:2002出版。
目前,在信息安全管理体系方面,ISO27001(原BS7799标准)已经成为世界上应用最广泛与典型的信息安全管理标准。
该标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制X围的参考基准,并且适用于大、中、小组织。
1998年英国公布标准的第二部分BS 7799-2《信息安全管理体系规X》,它规定信息安全管理体系要求与信息安全控制要求,是一个组织的全面或部分信息安全管理体系评估的基础,可以作为一个正式认证方案的根据。
BS7799-1与BS7799-2经过修订于 1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。
2000年12月,BS7799-1:1999《信息安全管理实施细则》通过了ISO的认可,正式成为国际标准―― ISO/IEC17799-1:2000《信息技术-信息安全管理实施细则》。
2002年9月5日,BS7799-2:2002草案经过广泛的讨论之后,终于发布成为正式标准――ISO27001,同时BS7799-2:1999被废止。
2006年5月,BS7799-3:2006《信息安全风险管理指南》出版。
针对ISO27001标准的受认可的认证,是对组织信息安全管理体系(ISMS)符合BS7799-2 要求的一种认证。
这是一种通过权威的第三方审核之后提供的保证:受认证的组织实施了信息安全管理体系,并且符合BS7799-2 标准的要求。
通过认证的组织,将会被注册登记,并且与认证委员会、DTI 以及ISMS IUG的国际网络相联系。
目前,已有20多个国家引用BS 7799-2作为国标,BS 7799(ISO/IEC17799)也是卖出拷贝最多的管理标准,其在欧洲的证书发放量已经超过ISO9001。
并有41 个国家和地区开展了此项业务,我国的XX和XX地区也已经采用并推广了BS7799标准。
在XX,BS7799-1:1999 被引用为S 17799,而BS7799-2:2002 则被引用为S 17800。