實(shí)施ISO27001 - 部分中小企業(yè)已有的信息安全管理模型簡(jiǎn)介
發(fā)布時(shí)間:2025-04-21 點(diǎn)擊:59
(1)全網(wǎng)動(dòng)態(tài)安全體系模型
全網(wǎng)動(dòng)態(tài)信息安全體系模型的提出者認(rèn)為,網(wǎng)絡(luò)的安全是一個(gè)動(dòng)態(tài)的概念。網(wǎng)絡(luò)的動(dòng)態(tài)安全模型能夠提供給用戶更完整、更合理的安全機(jī)制,全網(wǎng)動(dòng)態(tài)安全體系可用下 面的公式概括:網(wǎng)絡(luò)安全=風(fēng)險(xiǎn)分析+指定策略+系統(tǒng)防護(hù)+實(shí)時(shí)檢測(cè)+實(shí)時(shí)響應(yīng)+恢復(fù)。即網(wǎng)絡(luò)安全是一個(gè)“APPDRR”的動(dòng)態(tài)安全模型。
從信息安全體系的可實(shí)施、動(dòng)態(tài)性角度,動(dòng)態(tài)安全體系的設(shè)計(jì)充分考慮到風(fēng)險(xiǎn)評(píng)估、安全策略的制定、防御體系、監(jiān)控與檢測(cè)、響應(yīng)和恢復(fù)等各個(gè)方面,并且考慮到各部分之間的動(dòng)態(tài)關(guān)系與依賴性。
提出“APPDRR”動(dòng)態(tài)安全模型的學(xué)者認(rèn)為,這一模型為網(wǎng)絡(luò)建立了四道防線:安全保護(hù)是第一道防線,能夠阻止對(duì)網(wǎng)絡(luò)的入侵和危害;安全檢測(cè)室網(wǎng)絡(luò)的第二道 防線,可以及時(shí)發(fā)現(xiàn)和入侵和破壞;實(shí)時(shí)響應(yīng)是網(wǎng)絡(luò)的第三道防線,當(dāng)攻擊發(fā)生時(shí)維持網(wǎng)絡(luò)“打不垮”;恢復(fù)是網(wǎng)絡(luò)的第四道防線,使得信息系統(tǒng)在遭受攻擊后能以 最快的速度恢復(fù),最大程度上降低安全事件帶來的損失。
(2)P-D-C- A(Plan,Do,Check和Act,即戴明環(huán))過程模式:計(jì)劃、實(shí)施、檢測(cè)和改進(jìn)與評(píng)價(jià)。P-D-C-A模型是管理學(xué)中慣用的一個(gè)過程模型,該模型 最初應(yīng)用于質(zhì)量管理中。該模型在應(yīng)用時(shí),按照P-D-C-A的順序依次進(jìn)行,一次完整的P-D-C-A可以看成組織在管理上的一個(gè)周期,每經(jīng)過一次P- D-C-A循環(huán),組織的管理體系都會(huì)得到一定程度的提高和完善,同時(shí)進(jìn)入下一個(gè)更高級(jí)的管理周期,通過連續(xù)不斷的P-D-C-A循環(huán),組織的管理體系能夠 得到持續(xù)的改進(jìn),管理水平將隨之不斷提升。
應(yīng)用于信息安全管理的PDCA模型如圖5.2所示,圖5.2說明了如何把相關(guān)方的信息安全要求和期望作為輸入,并通過必要的行動(dòng)和過程,產(chǎn)生滿足這些要求和期望的信息安全結(jié)果。我們可以認(rèn)為ISO/IEC27001就是一個(gè)PDCA過程,那么這本身就是很多循環(huán)的嵌套。
(3)P3R2AME模型
P3R2AME 模型是由P2DRR發(fā)展而來,P2DRR模型是一種典型的信息安全控制模型,它是一種動(dòng)態(tài)的、自適應(yīng)的模型,可適應(yīng)安全風(fēng)險(xiǎn)和安全需求的不斷變化,以提供 持續(xù)的安全保障。P2DRR模型包括策略(Policy)、防護(hù)(Protection)、檢測(cè)(Detection)、響應(yīng)(Response)和恢復(fù) (Recovery)5個(gè)環(huán)節(jié),在該模型中,防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)構(gòu)成一個(gè)完整的、動(dòng)態(tài)的安全循環(huán)。
P3R2AME 模型在安全策略的指導(dǎo)下共同實(shí)現(xiàn)安全保障提出了較完整的企業(yè)信息安全防護(hù)模型。該模型以信息安全策略(Policy)為核心,依次進(jìn)行風(fēng)險(xiǎn)分析 (Analyse)、制定方案(Plan)、安全防護(hù)(Protection)、實(shí)時(shí)監(jiān)測(cè)(Monitor),直至實(shí)時(shí)響應(yīng)(Response)和恢復(fù) (Recover)環(huán)節(jié)。這是一個(gè)動(dòng)態(tài)循環(huán)的過程,響應(yīng)和恢復(fù)情況又為風(fēng)險(xiǎn)分析提供依據(jù),并且在整個(gè)過程中都要注重在企業(yè)內(nèi)部進(jìn)行安全教育 (Education)。
(4)信息保障體系模型
信息安全的本質(zhì)是風(fēng)險(xiǎn)管理,而風(fēng)險(xiǎn)管理密切相關(guān)的是企業(yè)的資產(chǎn)、資產(chǎn)面臨的威脅以及采取的安全防護(hù)措施。
安全防護(hù)措施又由管理和技術(shù)兩個(gè)方面組成。信息安全系統(tǒng)式一個(gè)復(fù)雜的系統(tǒng),涉及方方面面,例如:人、管理和技術(shù)等。
信息保障體系模型稱為VISAF框架,它包括下面六個(gè)步驟:
第一、要分析現(xiàn)狀,評(píng)估當(dāng)前安全狀態(tài)和各個(gè)措施的強(qiáng)度和效果。
第二、考慮加強(qiáng)現(xiàn)有防護(hù)體系,比如加強(qiáng)口令管理、操作系統(tǒng)安全加固和加強(qiáng)安全區(qū)域?qū)徲?jì)。
第三、馬上要考慮的就是加強(qiáng)審計(jì)和跟蹤體系,也就是加強(qiáng)檢測(cè)技術(shù)和產(chǎn)品及相關(guān)管理制度的制定和落實(shí)。
第四、要構(gòu)建應(yīng)急和響應(yīng)體系,包括建立基本的冗余恢復(fù)設(shè)備,制定應(yīng)急流程和應(yīng)急預(yù)案,并進(jìn)行應(yīng)急演練等。
第五、要建立全面的信息安全管理體系,其中要特別強(qiáng)調(diào)高層領(lǐng)導(dǎo)的責(zé)任和全員的信息安全技能和意思教育。
第六、發(fā)展到從集中入侵檢測(cè)與管理系統(tǒng)起步的安全運(yùn)營(yíng)中心體系,達(dá)到技術(shù)和管理的融合。
(5)基于WSR方法的企業(yè)信息安全模型
WSR是一種方法論,它蘊(yùn)含了東方“天人合一”哲學(xué)思想,把認(rèn)識(shí)自然、改造自然的主體和客體作為一個(gè)整體來研究,從而系統(tǒng)、完整、分層次地來對(duì)復(fù)雜問題進(jìn)行研 究,在系統(tǒng)科學(xué)研究方法中有其獨(dú)特性。張彩江博士認(rèn)為,“物理”是指涉及某項(xiàng)系統(tǒng)項(xiàng)目、問題處理過程人們面對(duì)的客觀存在,是物質(zhì)運(yùn)動(dòng)的規(guī)律總和。“事理” 是指涉及某項(xiàng)系統(tǒng)項(xiàng)目、問題處理過程中人們面對(duì)的客觀存在及其規(guī)律時(shí)介入的機(jī)理,它體現(xiàn)一種人——物界面。“人理”指涉及某項(xiàng)系統(tǒng)項(xiàng)目、問題處理過程中的 所有的人們之間的相互關(guān)系及其變化過程,通過研究和管理這種關(guān)系,促進(jìn)人們能按照可接受的事理去實(shí)現(xiàn)項(xiàng)目、問題的預(yù)定目標(biāo)。物理、事理、人理概念的界定, 有利于人們正確利用WSR方法來研究和分析復(fù)雜問題。
企業(yè)信息安全管理機(jī)制是一個(gè)復(fù)雜的系統(tǒng)工程,它既有物理、事理和人理的部分,而且人的部分是其中的重點(diǎn),三個(gè)部分相互促進(jìn),相互制約。因此,WSR方法論可以用于建立完善的企業(yè)信息系統(tǒng)安全管理機(jī)制,依照WSR方法論構(gòu)建企業(yè)信息安全管理機(jī)制。
上述信息安全管理模型從不同的角度對(duì)信息安全問題提出了不同的管理模型,他們的主要優(yōu)點(diǎn)是管理模型完整而系統(tǒng),對(duì)于信息安全的各個(gè)方面都考慮比較全面。主要 缺點(diǎn)是如果要完成上述的信息安全管理體系,企業(yè)要花費(fèi)大量的時(shí)間、金錢和精力,當(dāng)然因此帶來的收益也是客觀的,這就是一個(gè)信息安全的投資和收益的問題了。 因?yàn)橹行∑髽I(yè)的規(guī)模小,人員流動(dòng)快等特點(diǎn),上述信息安全模型并不合適。
中小企業(yè)依據(jù)ISO27001建立的信息安全管理的模型應(yīng)該簡(jiǎn)潔而適用,著重考慮企業(yè)重要的信息資產(chǎn),注重企業(yè)內(nèi)部的信息安全的管理,對(duì)于企業(yè)外部的威脅往往大規(guī)模的企業(yè)都沒有足夠的應(yīng)對(duì)能力,更何況中小企業(yè)。中小企業(yè)對(duì)外部的威脅的抵御往往得不償失,因此中小企業(yè)的信息安全模型應(yīng)該注重內(nèi)部建立起良好的組織和管理措施,對(duì)于外部的入侵只能在企業(yè)人力和財(cái)力的范圍內(nèi)購(gòu)買信息安全產(chǎn)品或者外包給專門的機(jī)構(gòu)來解決問題。
舟山iso9000認(rèn)證的條件和流程,舟山南京iso9000認(rèn)證的條件和流程
如何申報(bào)ISO14001認(rèn)證證書要多少錢
ISO9001體系認(rèn)證是贏得品質(zhì)競(jìng)爭(zhēng)的終極攻略
如何確定企業(yè)符合隱私信息管理體系認(rèn)證要求?
企業(yè)知識(shí)產(chǎn)權(quán)管理中的“坑”——事前管理還是事后補(bǔ)救?
ISO10010認(rèn)證的費(fèi)用是多少
河南省申請(qǐng)ISO9000認(rèn)證要怎么做
IATF16949監(jiān)督審核可以更換認(rèn)證機(jī)構(gòu)嗎?
全網(wǎng)動(dòng)態(tài)信息安全體系模型的提出者認(rèn)為,網(wǎng)絡(luò)的安全是一個(gè)動(dòng)態(tài)的概念。網(wǎng)絡(luò)的動(dòng)態(tài)安全模型能夠提供給用戶更完整、更合理的安全機(jī)制,全網(wǎng)動(dòng)態(tài)安全體系可用下 面的公式概括:網(wǎng)絡(luò)安全=風(fēng)險(xiǎn)分析+指定策略+系統(tǒng)防護(hù)+實(shí)時(shí)檢測(cè)+實(shí)時(shí)響應(yīng)+恢復(fù)。即網(wǎng)絡(luò)安全是一個(gè)“APPDRR”的動(dòng)態(tài)安全模型。
從信息安全體系的可實(shí)施、動(dòng)態(tài)性角度,動(dòng)態(tài)安全體系的設(shè)計(jì)充分考慮到風(fēng)險(xiǎn)評(píng)估、安全策略的制定、防御體系、監(jiān)控與檢測(cè)、響應(yīng)和恢復(fù)等各個(gè)方面,并且考慮到各部分之間的動(dòng)態(tài)關(guān)系與依賴性。
提出“APPDRR”動(dòng)態(tài)安全模型的學(xué)者認(rèn)為,這一模型為網(wǎng)絡(luò)建立了四道防線:安全保護(hù)是第一道防線,能夠阻止對(duì)網(wǎng)絡(luò)的入侵和危害;安全檢測(cè)室網(wǎng)絡(luò)的第二道 防線,可以及時(shí)發(fā)現(xiàn)和入侵和破壞;實(shí)時(shí)響應(yīng)是網(wǎng)絡(luò)的第三道防線,當(dāng)攻擊發(fā)生時(shí)維持網(wǎng)絡(luò)“打不垮”;恢復(fù)是網(wǎng)絡(luò)的第四道防線,使得信息系統(tǒng)在遭受攻擊后能以 最快的速度恢復(fù),最大程度上降低安全事件帶來的損失。
(2)P-D-C- A(Plan,Do,Check和Act,即戴明環(huán))過程模式:計(jì)劃、實(shí)施、檢測(cè)和改進(jìn)與評(píng)價(jià)。P-D-C-A模型是管理學(xué)中慣用的一個(gè)過程模型,該模型 最初應(yīng)用于質(zhì)量管理中。該模型在應(yīng)用時(shí),按照P-D-C-A的順序依次進(jìn)行,一次完整的P-D-C-A可以看成組織在管理上的一個(gè)周期,每經(jīng)過一次P- D-C-A循環(huán),組織的管理體系都會(huì)得到一定程度的提高和完善,同時(shí)進(jìn)入下一個(gè)更高級(jí)的管理周期,通過連續(xù)不斷的P-D-C-A循環(huán),組織的管理體系能夠 得到持續(xù)的改進(jìn),管理水平將隨之不斷提升。
應(yīng)用于信息安全管理的PDCA模型如圖5.2所示,圖5.2說明了如何把相關(guān)方的信息安全要求和期望作為輸入,并通過必要的行動(dòng)和過程,產(chǎn)生滿足這些要求和期望的信息安全結(jié)果。我們可以認(rèn)為ISO/IEC27001就是一個(gè)PDCA過程,那么這本身就是很多循環(huán)的嵌套。
(3)P3R2AME模型
P3R2AME 模型是由P2DRR發(fā)展而來,P2DRR模型是一種典型的信息安全控制模型,它是一種動(dòng)態(tài)的、自適應(yīng)的模型,可適應(yīng)安全風(fēng)險(xiǎn)和安全需求的不斷變化,以提供 持續(xù)的安全保障。P2DRR模型包括策略(Policy)、防護(hù)(Protection)、檢測(cè)(Detection)、響應(yīng)(Response)和恢復(fù) (Recovery)5個(gè)環(huán)節(jié),在該模型中,防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)構(gòu)成一個(gè)完整的、動(dòng)態(tài)的安全循環(huán)。
P3R2AME 模型在安全策略的指導(dǎo)下共同實(shí)現(xiàn)安全保障提出了較完整的企業(yè)信息安全防護(hù)模型。該模型以信息安全策略(Policy)為核心,依次進(jìn)行風(fēng)險(xiǎn)分析 (Analyse)、制定方案(Plan)、安全防護(hù)(Protection)、實(shí)時(shí)監(jiān)測(cè)(Monitor),直至實(shí)時(shí)響應(yīng)(Response)和恢復(fù) (Recover)環(huán)節(jié)。這是一個(gè)動(dòng)態(tài)循環(huán)的過程,響應(yīng)和恢復(fù)情況又為風(fēng)險(xiǎn)分析提供依據(jù),并且在整個(gè)過程中都要注重在企業(yè)內(nèi)部進(jìn)行安全教育 (Education)。
(4)信息保障體系模型
信息安全的本質(zhì)是風(fēng)險(xiǎn)管理,而風(fēng)險(xiǎn)管理密切相關(guān)的是企業(yè)的資產(chǎn)、資產(chǎn)面臨的威脅以及采取的安全防護(hù)措施。
安全防護(hù)措施又由管理和技術(shù)兩個(gè)方面組成。信息安全系統(tǒng)式一個(gè)復(fù)雜的系統(tǒng),涉及方方面面,例如:人、管理和技術(shù)等。
信息保障體系模型稱為VISAF框架,它包括下面六個(gè)步驟:
第一、要分析現(xiàn)狀,評(píng)估當(dāng)前安全狀態(tài)和各個(gè)措施的強(qiáng)度和效果。
第二、考慮加強(qiáng)現(xiàn)有防護(hù)體系,比如加強(qiáng)口令管理、操作系統(tǒng)安全加固和加強(qiáng)安全區(qū)域?qū)徲?jì)。
第三、馬上要考慮的就是加強(qiáng)審計(jì)和跟蹤體系,也就是加強(qiáng)檢測(cè)技術(shù)和產(chǎn)品及相關(guān)管理制度的制定和落實(shí)。
第四、要構(gòu)建應(yīng)急和響應(yīng)體系,包括建立基本的冗余恢復(fù)設(shè)備,制定應(yīng)急流程和應(yīng)急預(yù)案,并進(jìn)行應(yīng)急演練等。
第五、要建立全面的信息安全管理體系,其中要特別強(qiáng)調(diào)高層領(lǐng)導(dǎo)的責(zé)任和全員的信息安全技能和意思教育。
第六、發(fā)展到從集中入侵檢測(cè)與管理系統(tǒng)起步的安全運(yùn)營(yíng)中心體系,達(dá)到技術(shù)和管理的融合。
(5)基于WSR方法的企業(yè)信息安全模型
WSR是一種方法論,它蘊(yùn)含了東方“天人合一”哲學(xué)思想,把認(rèn)識(shí)自然、改造自然的主體和客體作為一個(gè)整體來研究,從而系統(tǒng)、完整、分層次地來對(duì)復(fù)雜問題進(jìn)行研 究,在系統(tǒng)科學(xué)研究方法中有其獨(dú)特性。張彩江博士認(rèn)為,“物理”是指涉及某項(xiàng)系統(tǒng)項(xiàng)目、問題處理過程人們面對(duì)的客觀存在,是物質(zhì)運(yùn)動(dòng)的規(guī)律總和。“事理” 是指涉及某項(xiàng)系統(tǒng)項(xiàng)目、問題處理過程中人們面對(duì)的客觀存在及其規(guī)律時(shí)介入的機(jī)理,它體現(xiàn)一種人——物界面。“人理”指涉及某項(xiàng)系統(tǒng)項(xiàng)目、問題處理過程中的 所有的人們之間的相互關(guān)系及其變化過程,通過研究和管理這種關(guān)系,促進(jìn)人們能按照可接受的事理去實(shí)現(xiàn)項(xiàng)目、問題的預(yù)定目標(biāo)。物理、事理、人理概念的界定, 有利于人們正確利用WSR方法來研究和分析復(fù)雜問題。
企業(yè)信息安全管理機(jī)制是一個(gè)復(fù)雜的系統(tǒng)工程,它既有物理、事理和人理的部分,而且人的部分是其中的重點(diǎn),三個(gè)部分相互促進(jìn),相互制約。因此,WSR方法論可以用于建立完善的企業(yè)信息系統(tǒng)安全管理機(jī)制,依照WSR方法論構(gòu)建企業(yè)信息安全管理機(jī)制。
上述信息安全管理模型從不同的角度對(duì)信息安全問題提出了不同的管理模型,他們的主要優(yōu)點(diǎn)是管理模型完整而系統(tǒng),對(duì)于信息安全的各個(gè)方面都考慮比較全面。主要 缺點(diǎn)是如果要完成上述的信息安全管理體系,企業(yè)要花費(fèi)大量的時(shí)間、金錢和精力,當(dāng)然因此帶來的收益也是客觀的,這就是一個(gè)信息安全的投資和收益的問題了。 因?yàn)橹行∑髽I(yè)的規(guī)模小,人員流動(dòng)快等特點(diǎn),上述信息安全模型并不合適。
中小企業(yè)依據(jù)ISO27001建立的信息安全管理的模型應(yīng)該簡(jiǎn)潔而適用,著重考慮企業(yè)重要的信息資產(chǎn),注重企業(yè)內(nèi)部的信息安全的管理,對(duì)于企業(yè)外部的威脅往往大規(guī)模的企業(yè)都沒有足夠的應(yīng)對(duì)能力,更何況中小企業(yè)。中小企業(yè)對(duì)外部的威脅的抵御往往得不償失,因此中小企業(yè)的信息安全模型應(yīng)該注重內(nèi)部建立起良好的組織和管理措施,對(duì)于外部的入侵只能在企業(yè)人力和財(cái)力的范圍內(nèi)購(gòu)買信息安全產(chǎn)品或者外包給專門的機(jī)構(gòu)來解決問題。
舟山iso9000認(rèn)證的條件和流程,舟山南京iso9000認(rèn)證的條件和流程
如何申報(bào)ISO14001認(rèn)證證書要多少錢
ISO9001體系認(rèn)證是贏得品質(zhì)競(jìng)爭(zhēng)的終極攻略
如何確定企業(yè)符合隱私信息管理體系認(rèn)證要求?
企業(yè)知識(shí)產(chǎn)權(quán)管理中的“坑”——事前管理還是事后補(bǔ)救?
ISO10010認(rèn)證的費(fèi)用是多少
河南省申請(qǐng)ISO9000認(rèn)證要怎么做
IATF16949監(jiān)督審核可以更換認(rèn)證機(jī)構(gòu)嗎?