信息安全管理

发布时间:2023年12月29日

管什么

管理对象:包括人在内的信息相关资产

管理组成:人员、目标、规则、过程

为什么管

反映业务目标的保障

组织整体组成部分

信息安全技术的融合剂

预防,组织或减少事件发生

对内、对外管控

管理特点

攻击和防护严重不对称,攻击很容易,防护成功极为困难

木桶原理,安全水平取决于防护最薄弱地带

常见管理标准

狭义的,ISO270001标准定义的ISMS,最新版是ISO/IEC 27001:2012版

建立和执行简单,难以和其他体系和管理形成一体化

广义的,管理包括各体系集合,建立难度大,控制严格

安全风险管理模型

常见的COSO、ISO31000、COBIT模型

风险识别、评估、优化,最小化检测和控制不良事件的可能性机影响,最大限度实现业务

保障是预防为主的思想

COSO

美国反虚假报告委员会缩写,主要是控环活评通监5项,适用很多地方,财务审计和战略常用模型

包括四类风险:战略、运营、报告、合规风险(宏观层,具体执行层,评价结果,法规层)

<
文章来源:https://blog.csdn.net/arissa666/article/details/135286053
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。