日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
信息安全保障方法的優(yōu)缺點(diǎn)

等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、建立信息安全管理體系這3種實(shí)現(xiàn)信息安全的方法都是當(dāng)前國(guó)家信息安全保障體系建設(shè)中的熱點(diǎn)話題。在這里,我們對(duì)這3種信息安全保障方法進(jìn)行分析和比較,以了解其優(yōu)缺點(diǎn)。

創(chuàng)新互聯(lián)服務(wù)項(xiàng)目包括新沂網(wǎng)站建設(shè)、新沂網(wǎng)站制作、新沂網(wǎng)頁制作以及新沂網(wǎng)絡(luò)營(yíng)銷策劃等。多年來,我們專注于互聯(lián)網(wǎng)行業(yè),利用自身積累的技術(shù)優(yōu)勢(shì)、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等,向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案,新沂網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前,我們服務(wù)的客戶以成都為中心已經(jīng)輻射到新沂省份的部分城市,未來相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任!

1.等級(jí)保護(hù)

1)主要內(nèi)容

等級(jí)保護(hù)是指導(dǎo)我國(guó)信息安全保障體系總體建設(shè)的基礎(chǔ)管理原則,是圍繞信息安全保障全過程的一項(xiàng)基礎(chǔ)性管理制度,其核心內(nèi)容是對(duì)信息安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。

2)優(yōu)點(diǎn)

等級(jí)保護(hù)適用于宏觀層面,是一種大范圍“基線安全”,適用于行業(yè)主管部門對(duì)信息安全的總體把握與監(jiān)控。

3)缺點(diǎn)

具體到某個(gè)組織的信息安全保護(hù)而言,等級(jí)保護(hù)的粒度劃分較粗,在滿足組織對(duì)信息安全的精細(xì)控制要求方面還存在不足。因此,在滿足監(jiān)管部門的等級(jí)保護(hù)要求之后,組織還可進(jìn)一步把等級(jí)細(xì)化到各種層次的安全域,直至對(duì)一個(gè)個(gè)的信息資產(chǎn)進(jìn)行有效管理。

2.信息安全管理體系(ISMS)

1)主要內(nèi)容

類似于質(zhì)量之于ISO9000,ISMS是組織為提高信息安全管理水平,按照ISO27001的要求,在整體或特定范圍內(nèi)監(jiān)理的信息安全方針和目標(biāo),以及完成這些目標(biāo)所用的方法和體系。它是直接管理活動(dòng)的結(jié)果,表示為方針、原則、目標(biāo)、方法、計(jì)劃、活動(dòng)、程序、過程和資源的集合。

2)優(yōu)點(diǎn)

ISMS涉及了信息安全的11個(gè)領(lǐng)域,133個(gè)控制措施,基本涵蓋了信息安全的方方面面,適用于各種類型的組織用來建立一個(gè)總體的安全控制框架;ISMS更注重于把“安全管理”當(dāng)作一種制度來建設(shè),通過建立統(tǒng)一的方針、策略,以及規(guī)范化安全規(guī)則,使ISMS實(shí)施主體能有效地識(shí)別風(fēng)險(xiǎn),持續(xù)不斷地采取管控措施,以把風(fēng)險(xiǎn)降低到組織可接受的程度。

3)缺點(diǎn)

它只是描述了建立ISMS的思想、框架,但對(duì)如何建立ISMS并沒有一個(gè)詳細(xì)明確的定義,也沒有描述ISMS的最終形態(tài);沒有確定建立信息安全體系的具體方法與技術(shù)。因此,ISMS對(duì)實(shí)施者來說留下來很大的可操作空間,不同的組織和不同實(shí)施著對(duì)ISMS標(biāo)準(zhǔn)的把握可能差別很大,ISMS總體水平也會(huì)有高下之分。

3.風(fēng)險(xiǎn)評(píng)估

1)主要內(nèi)容

風(fēng)險(xiǎn)評(píng)估是獲知組織當(dāng)前風(fēng)險(xiǎn)水平的一種手段,在金融、電子商務(wù)等許多領(lǐng)域都是有風(fēng)險(xiǎn)及風(fēng)險(xiǎn)評(píng)估需求的存在。當(dāng)風(fēng)險(xiǎn)評(píng)估應(yīng)用于IT安全領(lǐng)域時(shí),就是對(duì)信息安全的風(fēng)險(xiǎn)評(píng)估。

2)優(yōu)點(diǎn)

風(fēng)險(xiǎn)評(píng)估從早起簡(jiǎn)單的漏洞掃描、人工審計(jì)、滲透性測(cè)試這種類型的純技術(shù)操作,逐漸過渡到目前普遍采用ISO17799、OCTAVE、NIST SP800、NIST P800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法,充分體現(xiàn)以資產(chǎn)為出發(fā)點(diǎn)、以威脅為觸發(fā)、以技術(shù)/管理/運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險(xiǎn)評(píng)估綜合方法及操作模型。

國(guó)內(nèi)這幾年對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的研究進(jìn)展較快,具體的評(píng)估方法也在不斷改進(jìn)。原國(guó)信辦2004年組織完成了《信息安全風(fēng)險(xiǎn)評(píng)估指南》及《信息安全風(fēng)險(xiǎn)管理指南》標(biāo)準(zhǔn)草案的制定,并在其中規(guī)定了信息安全風(fēng)險(xiǎn)評(píng)估的工作流程、評(píng)估內(nèi)容、評(píng)估方法和風(fēng)險(xiǎn)判斷準(zhǔn)測(cè),對(duì)規(guī)范我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估的做法具有很好的指導(dǎo)意義。

3)缺點(diǎn)

《信息安全風(fēng)險(xiǎn)評(píng)估指南》所確定的風(fēng)險(xiǎn)評(píng)估方法還只是一個(gè)通用的方法論,具體到一個(gè)特定的單位,要對(duì)其中的風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確地識(shí)別與量化仍熱是一件困難的事情,在很大程度上要取決于評(píng)估者的經(jīng)驗(yàn)。

另一方面,《信息安全風(fēng)險(xiǎn)評(píng)估指南》主要是對(duì)所識(shí)別的一個(gè)個(gè)靜態(tài)資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估,涉及IT治理、IT管理流程、IT運(yùn)維、IT審計(jì)、IT價(jià)值實(shí)現(xiàn)等方面的風(fēng)險(xiǎn),并不能完全套用以上信息資產(chǎn)的風(fēng)險(xiǎn)評(píng)估方法,由于這類風(fēng)險(xiǎn)涉及組織的核心業(yè)務(wù),組織對(duì)此更加關(guān)心,因此,在實(shí)施信息安全過程中,準(zhǔn)確地識(shí)別其中的風(fēng)險(xiǎn)并能加以控制,對(duì)組織具有重要意義。

通過以上比較,我們認(rèn)為這3中方法都是實(shí)現(xiàn)信息安全的有效手段,但各有不同的側(cè)重點(diǎn),要真正實(shí)現(xiàn)信息安全要把這3者結(jié)合起來,并進(jìn)行相應(yīng)的擴(kuò)展,探索出一條適合中國(guó)特色的信息安全保障之路。


本文名稱:信息安全保障方法的優(yōu)缺點(diǎn)
本文鏈接:http://m.5511xx.com/article/cdcoejo.html