信息安全管理體系探討范文

本站小編為你精心準備了信息安全管理體系探討參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

《中國標準導報雜志》2015年第四期

1信息系統安全等級保護測評依據的標準

GB/T28449—2012《信息安全技術信息系統安全等級保護測評過程指南》規定了信息系統安全等級保護測評工作的測評過程，既適用于測評機構、信息系統的主管部門及運營使用單位對信息系統安全等級保護狀況進行的安全測試評價，也適用于信息系統的運營使用單位在信息系統定級工作完成之后，對信息系統的安全保護現狀進行的測試評價，獲取信息系統的全面保護需求。GB/T28448—2012《信息安全技術信息系統安全等級保護測評要求》針對信息系統中的單項安全措施和多個安全措施的綜合防范，對應地提出單元測評和整體測評的技術要求，用以指導測評人員從信息安全等級保護的角度對信息系統進行測試評估。GB/T22239—2008《信息安全技術信息系統安全等級保護基本要求》根據現有技術的發展水平，提出和規定了不同安全保護等級信息系統的最低保護要求，即基本安全要求，包括基本技術要求和基本管理要求，該標準適用于指導不同安全保護等級信息系統的安全建設和監督管理。

2整合實施的思路

2.1審核與測評的過程整合整合是為了在組織內部建立一套信息安全管理體系及制度，而且該制度既符合信息安全管理體系又符合信息系統安全等級保護的管理要求，并給組織帶來收益，避免不必要的沖突和資源浪費。根據對審核和測評的過程分析得知審核從表面上執行了測評的管理內容，但從整個審核和測評活動可得出，兩者的活動內容和組織方式非常相似，因此具備很強的整合條件，兩者的具體活動如表1所示。

2.2審核與測評的控制措施整合整合GB/T22239—2008中的控制措施部分與GB/T22080—2008的附錄A完全可行，且整合后可避免多余、重復的管理資源。如GB/T22239—2008三級信息系統對資產管理的要求和GB/T22080—2008中的“A.7資產管理”基本保持了一致，具體標準條款映射如表2所示。若組織內存在等級保護三級或三級以上的信息系統，則該組織應建立信息安全管理制度體系，這與組織單獨建立ISMS所達到的目標基本一樣，從整合的角度來看，通過實施整合，可以取得“一舉兩得”的效果。具體的整合檢查表如表3所示。

3結語

信息系統安全等級保護測評和信息安全管理體系審核，都是為實現和強化信息安全管理，做到分清責任機構，確認安全制度，預防和應對可能發生或者已經發生的信息系統管理問題。因此隨著信息化工作的不斷發展，信息安全管理體系審核和信息系統安全等級保護測評必將走上一條能夠融合的道路。

作者：胡娟  謝宗曉 單位：公安部第三研究所 南開大學商學院