新的ISO27001信息安全管理模型
發(fā)布時(shí)間:2025-08-19 點(diǎn)擊:5
新的ISO27001信息安全管理模型
本文依據(jù)ISO27001信息安全的特性和管理的方法提出一個(gè)新的ISO27001信息安全管理模型,如下圖所示?該模型由信息安全策略?安全保護(hù)措施?檢測?補(bǔ)救組成的一個(gè)循環(huán)鏈和信息安全管理中心兩部分組成,其中ISO27001信息安全管理中心是整個(gè)系統(tǒng)的核心?循環(huán)鏈中的每一個(gè)環(huán)節(jié)都要定期地與信息安全管理中心進(jìn)行安全信息交互,當(dāng)信息安全管理中心認(rèn)為有必要對組織的安全目標(biāo)進(jìn)行修改時(shí),要向高層管理匯報(bào)?高層管理再對安全目標(biāo)進(jìn)行最終的定奪?
信息安全管理模型
新的ISO27001信息安全管理模型的具體實(shí)施過程如下:
(1)組織根據(jù)商業(yè)運(yùn)作流程將其信息系統(tǒng)劃分成不同的安全域?然后,組織運(yùn)用定性與定量相結(jié)合的綜合評估方法對所有的安全域進(jìn)行信息安全風(fēng)險(xiǎn)分析與評估,并將評估結(jié)果文檔化?最后,組織依據(jù)信息安全風(fēng)險(xiǎn)評估結(jié)果建立基于ART2神經(jīng)網(wǎng)絡(luò)的動(dòng)態(tài)風(fēng)險(xiǎn)管理系統(tǒng)?
(2)組織根據(jù)風(fēng)險(xiǎn)分析與評估的結(jié)果?安全目標(biāo)?商業(yè)目標(biāo)制定最優(yōu)的信息安全策略,并把信息安全策略存儲到知識庫中,建立基于知識庫的信息安全策略管理系統(tǒng)?
(3)組織根據(jù)信息安全策略選擇并實(shí)施安全保護(hù)措施?隨著安全技術(shù)和安全產(chǎn)品的改進(jìn),這些安全保護(hù)措施也要不定期地更換?但更換后的保護(hù)措施仍然要遵循相應(yīng)的信息安全策略?同時(shí)組織還要對其職員進(jìn)行安全教育與培訓(xùn),并根據(jù)職員的不同角色為其制定不同的安全職責(zé)?每個(gè)職員都要制定一份個(gè)人年度信息安全計(jì)劃,并按照計(jì)劃進(jìn)行工作,年底時(shí)要對安全計(jì)劃的執(zhí)行情況進(jìn)行檢查?
(4)對信息系統(tǒng)進(jìn)行安全保護(hù)以后并不能完全消除信息安全風(fēng)險(xiǎn),所以要定期地監(jiān)控整個(gè)信息系統(tǒng)以發(fā)現(xiàn)不正常的活動(dòng)?組織可以建立基于Agent的信息安全監(jiān)控系統(tǒng),實(shí)現(xiàn)對信息系統(tǒng)的實(shí)時(shí)監(jiān)控?
(5)當(dāng)信息系統(tǒng)被入侵成功并遭到破壞后,組織可以采取相應(yīng)的補(bǔ)救措施,使得組織的商業(yè)過程可以正常進(jìn)行,并重新進(jìn)行風(fēng)險(xiǎn)分析與評估,增加或更改原有的信息安全保護(hù)措施?在信息系統(tǒng)正常運(yùn)行時(shí),組織就要定期地對系統(tǒng)進(jìn)行備份?
(6)信息安全管理中心是組織必須成立的一個(gè)安全管理部門,負(fù)責(zé)實(shí)施和監(jiān)控整個(gè)信息安全管理體系?ISO27001信息安全管理模型中的每一個(gè)環(huán)節(jié)都必須與信息安全管理中心進(jìn)行信息交互?當(dāng)某一個(gè)環(huán)節(jié)發(fā)現(xiàn)新的安全需求時(shí),便立刻向信息安全管理中心匯報(bào)?信息安全管理中心在分析其它三個(gè)環(huán)節(jié)的運(yùn)作情況的基礎(chǔ)上,對整個(gè)信息安全系統(tǒng)各個(gè)環(huán)節(jié)進(jìn)行調(diào)整,并在必要時(shí)與高層管理進(jìn)行信息交互,決定是否有必要對組織機(jī)構(gòu)的信息安全目標(biāo)進(jìn)行調(diào)整?最高管理層則通過信息安全管理中心全面準(zhǔn)確地掌握系統(tǒng)的安全狀況?
ISO27001信息安全管理中心還具有評價(jià)信息安全管理體系運(yùn)作情況的功能?在實(shí)施信息安全管理的過程中,人是一個(gè)很重要的因素?如果組織機(jī)構(gòu)中的人員對安全方針?安全制度和安全措施不滿意,信息安全管理體系就很難達(dá)到它預(yù)期的目標(biāo)?所以,ISO27001信息安全管理中心會利用問題表對安全方針?安全制度和安全措施的實(shí)施結(jié)果進(jìn)行調(diào)查,并分析這些安全舉措對組織機(jī)構(gòu)的影響,然后提出相應(yīng)的改進(jìn)方案?
該模型體現(xiàn)了以下ISO27001信息安全管理原則:
1.信息安全策略的制定和安全保護(hù)措施的選擇建立在風(fēng)險(xiǎn)評估的基礎(chǔ)上;
2.考慮安全控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則,將風(fēng)險(xiǎn)降至組織可以接受的水平;
3.預(yù)防控制為主的思想原則;
4.商務(wù)持續(xù)性原則,即從故障與災(zāi)難中恢復(fù)商務(wù)運(yùn)作,減少故障與災(zāi)難對關(guān)鍵商務(wù)過程的影響;
5.動(dòng)態(tài)管理原則,即對風(fēng)險(xiǎn)實(shí)施動(dòng)態(tài)管理;
6.全員參與的原則?
與原有的信息安全管理模型相比,新的ISO27001信息安全管理模型具有如下優(yōu)點(diǎn):
1.充分體現(xiàn)了對信息安全的管理,而且有一個(gè)專門的信息安全管理中心用于對組織的信息安全進(jìn)行協(xié)調(diào)和規(guī)劃?
2.具有動(dòng)態(tài)性,能及時(shí)適應(yīng)信息環(huán)境和信息技術(shù)的變化,并對信息安全策略和安全保護(hù)措施進(jìn)行改善?
3.可行性高,對組織的規(guī)模?資金沒有具體的要求?任何組織都可以在其內(nèi)部實(shí)施該信息安全管理模型,以實(shí)現(xiàn)其安全目標(biāo)?
4.ISO27001模型中的四個(gè)模塊之間連接緊密,循環(huán)性好,信息流動(dòng)也快?通過四個(gè)模塊的循環(huán)和ISO27001信息安全管理中心的管理,組織的信息系統(tǒng)的安全性可以不斷地得到提高?
總之,該新的信息安全管理模型在綜合運(yùn)用現(xiàn)有的信息安全管理標(biāo)準(zhǔn)?管理方法?安全技術(shù)的基礎(chǔ)上克服了以往信息安全管理模型的缺點(diǎn),實(shí)現(xiàn)了信息的保密性?完整性?可用性?
廈門ISO9001認(rèn)證丨廈門ISO14001認(rèn)證丨ISO認(rèn)證機(jī)構(gòu)-艾西姆認(rèn)證
衢州OHS18000認(rèn)證質(zhì)量認(rèn)證
分析檢測中標(biāo)準(zhǔn)曲線相關(guān)問題探討!(包含標(biāo)準(zhǔn)曲線制作、檢驗(yàn)、使用中問題等)
UKAS標(biāo)志是什么意思?UKAS什么作用
Mattel美泰驗(yàn)廠之全球制造守則簡介
在哪辦理油煙管道清洗服務(wù)企業(yè)資質(zhì)
三a企業(yè)認(rèn)證什么企業(yè)適合,哪些企業(yè)適合做iso9001認(rèn)證
申請國際商標(biāo)注冊補(bǔ)貼是多少錢,如何規(guī)定?
本文依據(jù)ISO27001信息安全的特性和管理的方法提出一個(gè)新的ISO27001信息安全管理模型,如下圖所示?該模型由信息安全策略?安全保護(hù)措施?檢測?補(bǔ)救組成的一個(gè)循環(huán)鏈和信息安全管理中心兩部分組成,其中ISO27001信息安全管理中心是整個(gè)系統(tǒng)的核心?循環(huán)鏈中的每一個(gè)環(huán)節(jié)都要定期地與信息安全管理中心進(jìn)行安全信息交互,當(dāng)信息安全管理中心認(rèn)為有必要對組織的安全目標(biāo)進(jìn)行修改時(shí),要向高層管理匯報(bào)?高層管理再對安全目標(biāo)進(jìn)行最終的定奪?
信息安全管理模型
新的ISO27001信息安全管理模型的具體實(shí)施過程如下:
(1)組織根據(jù)商業(yè)運(yùn)作流程將其信息系統(tǒng)劃分成不同的安全域?然后,組織運(yùn)用定性與定量相結(jié)合的綜合評估方法對所有的安全域進(jìn)行信息安全風(fēng)險(xiǎn)分析與評估,并將評估結(jié)果文檔化?最后,組織依據(jù)信息安全風(fēng)險(xiǎn)評估結(jié)果建立基于ART2神經(jīng)網(wǎng)絡(luò)的動(dòng)態(tài)風(fēng)險(xiǎn)管理系統(tǒng)?
(2)組織根據(jù)風(fēng)險(xiǎn)分析與評估的結(jié)果?安全目標(biāo)?商業(yè)目標(biāo)制定最優(yōu)的信息安全策略,并把信息安全策略存儲到知識庫中,建立基于知識庫的信息安全策略管理系統(tǒng)?
(3)組織根據(jù)信息安全策略選擇并實(shí)施安全保護(hù)措施?隨著安全技術(shù)和安全產(chǎn)品的改進(jìn),這些安全保護(hù)措施也要不定期地更換?但更換后的保護(hù)措施仍然要遵循相應(yīng)的信息安全策略?同時(shí)組織還要對其職員進(jìn)行安全教育與培訓(xùn),并根據(jù)職員的不同角色為其制定不同的安全職責(zé)?每個(gè)職員都要制定一份個(gè)人年度信息安全計(jì)劃,并按照計(jì)劃進(jìn)行工作,年底時(shí)要對安全計(jì)劃的執(zhí)行情況進(jìn)行檢查?
(4)對信息系統(tǒng)進(jìn)行安全保護(hù)以后并不能完全消除信息安全風(fēng)險(xiǎn),所以要定期地監(jiān)控整個(gè)信息系統(tǒng)以發(fā)現(xiàn)不正常的活動(dòng)?組織可以建立基于Agent的信息安全監(jiān)控系統(tǒng),實(shí)現(xiàn)對信息系統(tǒng)的實(shí)時(shí)監(jiān)控?
(5)當(dāng)信息系統(tǒng)被入侵成功并遭到破壞后,組織可以采取相應(yīng)的補(bǔ)救措施,使得組織的商業(yè)過程可以正常進(jìn)行,并重新進(jìn)行風(fēng)險(xiǎn)分析與評估,增加或更改原有的信息安全保護(hù)措施?在信息系統(tǒng)正常運(yùn)行時(shí),組織就要定期地對系統(tǒng)進(jìn)行備份?
(6)信息安全管理中心是組織必須成立的一個(gè)安全管理部門,負(fù)責(zé)實(shí)施和監(jiān)控整個(gè)信息安全管理體系?ISO27001信息安全管理模型中的每一個(gè)環(huán)節(jié)都必須與信息安全管理中心進(jìn)行信息交互?當(dāng)某一個(gè)環(huán)節(jié)發(fā)現(xiàn)新的安全需求時(shí),便立刻向信息安全管理中心匯報(bào)?信息安全管理中心在分析其它三個(gè)環(huán)節(jié)的運(yùn)作情況的基礎(chǔ)上,對整個(gè)信息安全系統(tǒng)各個(gè)環(huán)節(jié)進(jìn)行調(diào)整,并在必要時(shí)與高層管理進(jìn)行信息交互,決定是否有必要對組織機(jī)構(gòu)的信息安全目標(biāo)進(jìn)行調(diào)整?最高管理層則通過信息安全管理中心全面準(zhǔn)確地掌握系統(tǒng)的安全狀況?
ISO27001信息安全管理中心還具有評價(jià)信息安全管理體系運(yùn)作情況的功能?在實(shí)施信息安全管理的過程中,人是一個(gè)很重要的因素?如果組織機(jī)構(gòu)中的人員對安全方針?安全制度和安全措施不滿意,信息安全管理體系就很難達(dá)到它預(yù)期的目標(biāo)?所以,ISO27001信息安全管理中心會利用問題表對安全方針?安全制度和安全措施的實(shí)施結(jié)果進(jìn)行調(diào)查,并分析這些安全舉措對組織機(jī)構(gòu)的影響,然后提出相應(yīng)的改進(jìn)方案?
該模型體現(xiàn)了以下ISO27001信息安全管理原則:
1.信息安全策略的制定和安全保護(hù)措施的選擇建立在風(fēng)險(xiǎn)評估的基礎(chǔ)上;
2.考慮安全控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則,將風(fēng)險(xiǎn)降至組織可以接受的水平;
3.預(yù)防控制為主的思想原則;
4.商務(wù)持續(xù)性原則,即從故障與災(zāi)難中恢復(fù)商務(wù)運(yùn)作,減少故障與災(zāi)難對關(guān)鍵商務(wù)過程的影響;
5.動(dòng)態(tài)管理原則,即對風(fēng)險(xiǎn)實(shí)施動(dòng)態(tài)管理;
6.全員參與的原則?
與原有的信息安全管理模型相比,新的ISO27001信息安全管理模型具有如下優(yōu)點(diǎn):
1.充分體現(xiàn)了對信息安全的管理,而且有一個(gè)專門的信息安全管理中心用于對組織的信息安全進(jìn)行協(xié)調(diào)和規(guī)劃?
2.具有動(dòng)態(tài)性,能及時(shí)適應(yīng)信息環(huán)境和信息技術(shù)的變化,并對信息安全策略和安全保護(hù)措施進(jìn)行改善?
3.可行性高,對組織的規(guī)模?資金沒有具體的要求?任何組織都可以在其內(nèi)部實(shí)施該信息安全管理模型,以實(shí)現(xiàn)其安全目標(biāo)?
4.ISO27001模型中的四個(gè)模塊之間連接緊密,循環(huán)性好,信息流動(dòng)也快?通過四個(gè)模塊的循環(huán)和ISO27001信息安全管理中心的管理,組織的信息系統(tǒng)的安全性可以不斷地得到提高?
總之,該新的信息安全管理模型在綜合運(yùn)用現(xiàn)有的信息安全管理標(biāo)準(zhǔn)?管理方法?安全技術(shù)的基礎(chǔ)上克服了以往信息安全管理模型的缺點(diǎn),實(shí)現(xiàn)了信息的保密性?完整性?可用性?
廈門ISO9001認(rèn)證丨廈門ISO14001認(rèn)證丨ISO認(rèn)證機(jī)構(gòu)-艾西姆認(rèn)證
衢州OHS18000認(rèn)證質(zhì)量認(rèn)證
分析檢測中標(biāo)準(zhǔn)曲線相關(guān)問題探討!(包含標(biāo)準(zhǔn)曲線制作、檢驗(yàn)、使用中問題等)
UKAS標(biāo)志是什么意思?UKAS什么作用
Mattel美泰驗(yàn)廠之全球制造守則簡介
在哪辦理油煙管道清洗服務(wù)企業(yè)資質(zhì)
三a企業(yè)認(rèn)證什么企業(yè)適合,哪些企業(yè)適合做iso9001認(rèn)證
申請國際商標(biāo)注冊補(bǔ)貼是多少錢,如何規(guī)定?